Actualización del modelo de referencia de EADTrust para firma biométrica

Actualización del modelo de referencia de EADTrust para firma biométrica

Aspectos legales

El modelo de referencia de FMDA (Firma Manuscrita Digitalizada Avanzada) de EADTrust se recoge en un decálogo de 10 principios que se describen en diferentes documentos creados por EADTrust y accesibles en Internet (entre otros lugares, en este mismo sitio web).

A partir de 2015, el modelo cambia ligeramente, ampliando el checklist e incorporando un nuevo requisito, como consecuencia del desarrollo de un conjunto de exigencias internacionales, en el marco de la gestión de datos de carácter personal: la notificación a la autoridad de protección de datos de incidentes de seguridad  que expongan datos de carácter personal custodiados por la entidad (personal data breach).

Por ello, el decálogo FMDA de EADTrust  queda establecido de la siguiente manera:

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.
Leer más >
EADTrust Wacom STU520

Wacom STU520

Aspectos técnicos

En algunos de los proyectos que audita EADTrust se emplea la tableta Wacom STU520.

Estas son sus características principales:

  • Pantalla a color
  • Dimensiones de la pantalla: 10,4cm x 6,5cm
  • Resolución de la pantalla:  800 x 480 puntos.
  • Relación de aspecto de la pantalla: 16:10
  • Niveles de presión: 512
  • Presión necesaria para nivel máximo: (no publicada)
Leer más >
EADTrust Resumen sobre firma digitalizada

Resumen sobre firma digitalizada

Aspectos legales

La firma digitalizada es un tipo de firma electrónica que permite identificar al firmante en un documento electrónico incluyendo el aspecto gráfico de la firma manuscrita.

Según la legislación de firma electrónica (actualmente el Reglamento 910/2014 de la Unión Europea) y dependiendo de la técnica adoptada, puede ser considerada firma electrónica simple, o firma electrónica avanzada.

En el marco de la firma electrónica simple se incluyen firmas escaneadas digitalizadas, únicamente en su aspecto gráfico.

En el marco de la firma electrónica avanzada se incluye además información grafométrica obtenida en tiempo real de un dispositivo idóneo asociado al sistema de firma vinculándolo con el documento de forma indisoluble, cifrando cierta información para que los datos de generación de firma no estén a disposición del promotor del sistema.

Los dispositivos utilizados son tabletas digitalizadoras n(pads), conectadas a ordenadores personales y tabletas generalistas (tablets), preferentemente dotadas con tecnología sensible a la presión del puntero de firma. Los teléfonos inteligentes (smartphones) se agrupan frecuentemente en el mismo grupo tecnológico que las tabletas generalistas.

Gran parte de los procesos internos en los que sea necesaria la firma (autorizaciones, recibos, pedidos, contratos, etc.) podrán llevarse a cabo sin imprimir el documento en papel y sin necesitar almacenar físicamente los documentos. La búsqueda de documentos se simplifica, puesto que ya sólo hay que buscar el documento en el sistema informático.

Si se preservan ciertos principios en la gestión de firmas electrónicas avanzadas digitalizadas, estas firmas pueden ser consideradas prueba en juicio con procedimientos equivalentes a las firmas manuscritas sobre documentos en papel, y es posible realizar el cotejo de firmas previsto en la legislación procesal por los expertos y peritos previstos en dicha legislación. Con frecuencia, los sistemas de gestión que se adhieren a dichos principios se denominan sistemas FMDA (Firma Manuscrita Digitalizada Avanzada).

Ventajas de la firma electrónica escrita o manuscrita

Mediante la firma digitalizada en alguna de sus variantes (simple, avanzada o FMDA) se evita el uso del papel, al tiempo que se respeta la experiencia de usuario de la firma convencional. Se gestionan documentos electrónicos sin necesidad de que el usuario firmante haga uso de claves, certificados, contraseñas o sistemas que puedan suponer una barrera de adopción.

La firma digitalizada avanzada y la FMDA tienen la propiedad de ser firmas «inmediatas» ya que las realiza el propio firmante. En contraposición, las firmas electrónicas basadas en certificados (por ejemplo, las firmas cualificadas) son firmas «mediatas» ya que en sentido técnico, la firma electrónica la realiza el dispositivo, mientras que el firmante se limita a dar uso al dispositivo y autorizar la firma con su contraseña. Por este motivo, la atribuibilidad de la firma descansa en la custodia diligente del dispositivo y de la contraseña por parte del firmante.

Entre los aspectos relevantes de la firma digitalizada cabe destacar:

  • La firma expresa la prestación del consentimiento, en relación con el documento electrónico, por lo que acredita la voluntad de firmar.
  • El usuario no necesita recordar claves para realizar su firma
  • El proceso de la firma es reconocido por todos y da constancia de un acuerdo voluntario.
  • El firmante no tiene que solicitar un certificado a ninguna entidad de certificación para poder utilizar la firma electrónica simple escrita.
  • La firma registrada mediante dispositivos de firma electrónica escrita puede ser examinada sin ningún problema por un especialista en grafística.

Si no se emplea la firma de tipo FMDA una firma recogida en uno de los dispositivos de captación de firma puede utilizarse para vincularla a documentos diferentes de los que cree el firmante, por lo que en ese caso la presunción tendría escaso valor.

Para la firma electrónica son necesarios

El pad (o tableta) para la firma electrónica, capaz de registrar el trazado de la firma escrita y todos sus aspectos, tales como tiempo, presión y coordenadas del trazado.

También es necesaria una aplicación capaz de codificar la firma electrónica de modo seguro y asimétrico en un documento electrónico con validez ante el juez.

El sistema utilizado tendrá que ser capaz de captar la firma escrita de modo que, en caso de juicio, el perito pueda verificar su autenticidad, y ratificarlo en juicio.

Para la FMDA es conveniente contar con un informe de auditoría que exprese que el sistema utilizado garantiza la capacidad probatoria de los intervinientes de forma semejante (simetría probatoria) y que la entidad promotora no puede disponer de la información grafométrica de las firmas ni, por lo tanto, incluir firmas en documentos diferentes de aquellos sobre los que el firmante prestó su consentimiento. En definitiva, que la firma manuscrita digitalizada avanzada se obtuvo y se almacena en un sistema seguro que impide la manipulación.

Leer más >
EADTrust Atmel maxStylus mXTS100 y mXTS200

Atmel maxStylus mXTS100 y mXTS200

Aspectos técnicos

En nuestros estudios sobre adecuación de dispositivos para la firma manuscrita digitalizada avanzada (FMDA) estamos detectando que aunque sobre el papel (o en base a especificaciones publicadas) algunos dispositivos cumplen la recomendación de incluir niveles de presión, en la práctica la información capturada es poco útil desde un punto de vista forense, y discrimina poco más que la mera captación de contacto/no-contacto con la superficie de la tableta digitalizadora.

En particular, hemos detectado que la mayor parte de los equipos equipados con la tecnología Atmel maxStylus (habitualmente con equipos de marcas renombradas que etiquetan con su marca esos dispostivos)  no produce resultados útiles, significativamente diferentes de los sistemas que no captan diferencias de presión.

Por ese motivo, nos estamos planteando especializar una divisisión de EADTrust para la homologación de dispositivos al objeto de cualificar a aquellos que aportan valores adecuados de presión mínima y presión máxima que son capaces de discriminar.

De momento, advertimos que los dispositivos mXTS-100 y mXTS-200 de Atmel ( en «rebrandings» de marcas renombradas) no presentan resultados destacables en comparativas con sistemas que no detectan presión.

Entre otros aspectos sobre los que llamamos la atención, no hemos encontrado ninguna especificación o nota de aplicación del fabricante en la que se haga mención a los niveles mínimo y máximo de presión detectados.

Si desea certificar un dispositivo para FMDA contacte con EADTrust en el 902 365 612 (o +34 91 716 05 55)

Leer más >
EADTrust Sensibilidad mínima y sensibilidad máxima

Sensibilidad mínima y sensibilidad máxima

Captura de firma

Un parámetro que cada vez adquiere más importancia en nuestra valoración de los dispositivos utilizados en la captura de firmas digitalizadas es el de la sensibilidad a la presión.

La experiencia en diferentes proyectos nos ha demostrado que la información de la presión en las tabletas digitalizadoras que permiten captar esta variable habitualmente forma mesetas planas con variaciones de presión casi únicamente en los inicios y fin de trazo.

Esto se debe a que se alcanza rápidamente la presión máxima que detecta el dispositivo, y ya no es posible discriminar aumentos o disminuciones de presión cuando el trazo se produce entre las pendientes de la curva que señalan los puntos de inicio o fin de trazo.

Por otro lado, en diferentes dispositivos hemos constatado que produciéndose contacto entre el puntero y la superficie de la pantalla, el sistema no da indicación de presión alguna porque no se ha superado el umbral de sensibilidad mínima.

En los usos habituales en los que la sensibilidad a la presión de las tabletas digitalizadoras o generalistas con tecnología de detección de presión tiene utilidad, estos umbrales no son tan relevantes, porque el usuario gradúa la presión que realiza según la realimentación visual que se produce cuando ve en pantalla el efecto del movimiento del puntero sobre la superficie de la tableta. Por ejemplo en aplicaciones de dibujo, bocetado, diseño o arte por ordenador.

Sin embargo en la firma, la inmediatez de la acción, realizada casi siempre con poco control consciente, clave en la vinculación del firmante a través de su valoración biométrica, no da pie a una adaptación del firmante a las peculiaridades del dispositivo

De modo que empieza a ser más importante en los dispositivos utilizados en el marco de proyectos FMDA (Firma Manuscrita Digitalizada Avanzada)  los dos valores extremos que miden la presión del puntero sobre la superficie activa del dispositivo, que el número de niveles, que en muchos dispositivos alcanza el valor de 1024, pero que no perdería utilidad forense por ser un número menor, como 256 (un valor frecuente) o, incluso, 64.

Leer más >
EADTrust Licitaciones PPT Pliego de Prescripciones Técnicas

Licitaciones: PPT Pliego de Prescripciones Técnicas

Aspectos legales

Con la incorporación de la firma manuscrita digitalizada avanzada (una de las modalidades de firma biométrica) al sector hospitalario y a otros contextos vinculados al sector público, aparece la necesidad de presupuestar el despliegue de sistemas de gestión de las firmas digitalizadas y de tramitar las licitaciones.

Aunque los Pliegos de Condiciones Administrativas suelen ser similares dentro de un mismo organismo, los detalles técnicos deben ajustarse a las necesidades de la institución y a las posibilidades de la tecnología.

Por ello, EADTRUST ofrece su servicio de redacción y preparación de pliegos técnicos (bases técnicas, condiciones técnicas) orientados a la adquisición de sistemas de gestión de firma digitalizada, firma electrónica, firma biométrica y otros destinados a la «despapelización», con la garantía que da contar con los mejores especialistas en los aspectos técnicos y jurídicos de la firma digital.

Proyectos tales como:

  • Consentimiento informado
  • Receta electrónica
  • Firmas en comparecencias «apud acta»
  • Contratación
  • Admisión de pacientes
  • Firma de actas de inspección

Pueden modernizarse con la ayuda de técnicas criptográficas, sellos de tiempo, y mecanismos de custodia de evidencias electrónicas.

Se garantiza la independencia de criterio, ya que, aunque EADTrust tiene amplia experiencia auditando soluciones tecnológicas de firma digitalizada y de diversas variantes de firma biométrica, no es proveedor de este tipo de soluciones.

Llame al teléfono 917160555 y consúltenos sobre las diferentes formas en las que podemos ayudarle.

Leer más >
EADtrust Tinta química y tinta digital para la escritura de puño y letra en testamentos ológrafos

Tinta química y tinta digital para la escritura de puño y letra en testamentos ológrafos

Aspectos técnicos

Un testamento se denomina ológrafo cuando lo realiza el testador de su puño y letra. El diccionario admite también la variante «hológrafo».

Tradicionalmente la prueba para determinar la autenticidad de una firma realizada sobre papel con tinta química se basaba en la posibilidad de comparar la firma o firmas controvertidas con firmas indubitadas, con el análisis de elementos gráficos de la firma y de ciertas características de la impronta de la escritura para determinar su carácter de original (frente a una fotocopia, por ejemplo). Por ejemplo es posible determinar con una lupa o un microscopio y con diferentes tipos de luz la profundidad del trazo, que representa la presión y el tipo de instrumento utilizado, el tipo de tinta y el tipo de papel, para estimar la velocidad a la que se firmó y colegir de ello si es una firma espontánea o una imitación servil.

Con las nuevas tecnologías de captura de firma en tableta digitalizadora la obtención de los parámetros dinámicos de la firma proporcionan al perito informaciones inestimables para determinar la autenticidad o falsedad de una firma, por lo que es posible el testamento ológrafo electrónico .

Si el sistema utiliza de forma adecuada el cifrado para evitar la extracción de la información grafométrica de un documento y su inserción en otro podriamos hablar de testamento hológrafo con tinta digital, porque podría determinarse si la letra y la firma corresponden al firmante.

A diferencia de la firma electrónica basada en claves asimétricas y certificados, en los que el firmante necesita de un instrumento electrónico (que aplica el principio de la autenticación de «algo que tienes») que contiene la clave secreta y del que se espera (pero no se garantiza) que controle en exclusiva,  la firma digital basada en la manipulación de un puntero o pluma digital por el firmante se atribuye a este precisamente porque su firma conlleva su impronta (que integra los principios de la autenticación de «algo que eres» y «algo que sabes»).

En el primer caso, la firma es «mediata» y en el segundo «inmediata».

Por tanto podría decirse que el testamento ológrafo con tinta digital es válido (como lo sería con cualquier otra tinta), siempre que se cumplan los requisitos definidos en el Código Civil en el artículo 688 y siguientes:

El testamento ológrafo sólo podrá otorgarse por personas mayores de edad.

Para que sea válido este testamento deberá estar escrito todo él y firmado por el testador, con expresión de año, mes y día en que se otorgue.

Si contuviese palabras tachadas, enmendadas o entre renglones, las salvará el testador bajo su firma.

Los extranjeros podrán otorgar testamento ológrafo en su propio idioma.

Leer más >
EADTrust ISO IEC 24745 2011 Protección de información biométrica

ISO/IEC 24745:2011 Protección de información biométrica

Aspectos técnicos

Los datos biométricos, como huellas dactilares y escaneo del iris, se utilizan cada vez más como una forma fiable de autenticación para transacciones en línea.

Pero, ¿cómo podemos estar seguros de que estos datos no se verán comprometidos? Para garantizar la seguridad y la privacidad en el manejo y procesamiento de la información biométrica, ISO y la Comisión Internacional Electrotécnica (IEC) han publicado conjuntamente una nueva Norma Internacional, ISO/IEC 24745:2011, Tecnología de la información – Técnicas de seguridad – Protección de la información biométrica.

ISO/IEC 24745:2011 proporciona una pauta para proteger información biométrica bajo los requerimientos de confidencialidad, integridad, renovabilidad o revocabilidad en la custodia y transmisión de este tipo de datos. Además proporciona requisitos y pautas para la gestión y el procesamiento de la información biométrica.

Contempla el análisis de amenazas y contramedidas específicos para los entornos que gestionan información biométrica, los requisitos de seguridad respecto a la vinculación de una identidad con su información biométrica, modelos de aplicación en el marco del almacenamiento y comparación de información biométrica en diversos escenarios y pautas para la protección de la privacidad de un individuo cuando se procesa su información biométrica.

La norma ISO/IEC 24745:2011 no incluye pautas de índole general sobre gestión relacionada con la seguridad física, o ambiental, o relativa a la gestión de claves orientada al uso de técnicas criptográficas.

Leer más >
EADTrust Evidencias electrónicas

Evidencias electrónicas

Evidencias electrónicas

Las firmas electrónicas avanzadas se enmarcan una tipología de firma que usa tecnología criptográfica de clave pública partiendo de la base de una clave privada custodiada por el firmante en un dispositivo seguro de creación de firma y de un certificado cualificado vinculado a ella.

Estas firmas se pueden realizar, por ejemplo, con el DNIe.

Sin embargo, a pesar de que ya existen más de 40 millones de unidades de DNIe este se utiliza de modo marginal porque se percibe como complejo por los usuarios.

Sin embargo pueden gestionarse firmas electrónicas basadas en técnicas biométricas que conservan evidencias electrónicas que vinculan el documento firmado con rasgos como ma voz o los trazos realizados por un firmante en una tableta digitalizadora.

Estas firmas son compatibles con la nueva legislación sobre firma electrónica como comprobarse en el último borrador del Reglamento europeo – Identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior disponible en la página web del Foro de la Firma Electrónica.

Esta firmas son más sencillas de realizar y pueden resultar idóneas en muchos casos para “despapelizar” procesos, desmaterializando documentos que pueden gestionarse electrónicamente.

Para gestionar adecuadaemnte las evidencias electrónicas de las firmas digitalizadas, dos herramientas esenciales son el sello de tiempo y la gestión de claves privadas por parte de un tercero de confianza, prestador de servicios de certificación.

EADTrust presta este servicio para implementadores de sistemas de firma digitalizada y cuenta ya con la confianza de diferentes entidades:

  • Citibank
  • Indra
  • Vitaldent
  • Enxendra
  • RSI-Rural de Servicios Informáticos
  • VASS
  • Bankinter
  • AGS-Alianet
  • SOAX
Leer más >
EADTrust Digitalización de consentimientos informados

Digitalización de consentimientos informados

Aspectos legales

En ocasiones, la gestión digital de firmas manuscritas capturadas en tableta gráfica crea incertidumbre en las personas a las que se les propone firmar en tales dispositivos, ante la duda razonable sobre si su firma así capturada podrá manipularla la entidad que la obtiene e incluso asociarla a documentos diferentes a los que en principio ha prestado su consentimiento.

Sin embargo, la firma digitalizada, gestionada cumpliendo determinados requisitos, goza de garantías que otorgan pleno valor probatorio al documento firmado electrónicamente mediante captura de la firma, por lo que puede, incluso,ser presentado como prueba de la firma en procedimientos judiciales, de manera semejante a la firma manuscrita sobre papel, admitiendo como ella la prueba pericial cuando una parte negara su autenticidad.

Uno de los casos de uso de la firma manuscrita digitalizada se da en la gestión de consentimientos informados, en el marco de la Historia Clínica Electrónica que se está implantando en muchos centros sanitarios, y para la que se ha acuñado el término de consentimiento informado electrónico o consentimiento informado digital.

En la firma de un «consentimiento informado», el médico requiere la firma del paciente en un documento en que se se le informa a este de los riesgos de un tratamiento, antes de proceder a el.

Dado que el número de estos documentos que se firman en un centro médico u hospitalario cada día puede ascender a cientos o miles, la opción de gestionarlos sobre la base del papel crea grandes problemas de custodia, comprobación, control y seguimiento, y encarece la gestión hospitalaria.

Problemas que se eliminan cuando toda esta gestión se hace de forma electrónica, digitalizando y «desmaterializando» el proceso.

No hay duda, por lo previsto en la Ley 59/2003 de Firma Electrónica española, que es posible  eliminar el papel cuando el paciente firma electrónicamente con un certificado electrónico reconocido, como el incluido en el DNIe. Sin embargo, esta práctica no se ha generalizado porque los ciudadanos no son conscientes de que pueden firmar de esta forma y no recuerdan su clave secreta. Y eso pese a que 40 millones de ciudadanos españoles cuentan con este poderoso instrumento tecnológico.

¿Existe un método más sencillo para los ciudadanos que permita «despapelizar» las firmas y preservar sus garantías jurídicas? Si:  mediante la firma manuscrita digitalizada avanzada. Según la normativa de firma electrónica, la firma electrónica avanzada es la que vincula al firmante con lo firmado. Una definición neutra tecnológicamente que se puede desplegar usando técnicas criptográficas de las que el usuario no necesita ser consciente. En tanto que quede constancia de la prestación del consentimiento del firmante, después de entender lo que implica aquello que va a firmar.

A grandes rasgos, un sistema de gestión de firma manuscrita digitalizada avanzada, debería cumplir:

  1. Captura de elementos biométricos dinámicos de la firma (coordenadas sucesivas y presión del trazo realizado sobre la tableta, con una frecuencia de muestreo adecuada)
  2. Vinculación de la firma con el documento garantizando la identidad del firmante y la integridad del documento con la firma integrada.
  3. Imposibilidad de incrustar la firma en otros documentos, por parte de quien capta la firma o custodia el documento.
  4. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD
  5. Posibilidad de comprobar la firma por el titular
  6. Posibilidad de demostrar la validez de la firma en un proceso orientado a dirimir discrepancias (negociación, mediación arbitraje o juicio).
  7. Simetría probatoria: tanto el supuesto firmante como quien captura la firma deben tener la misma capacidad de probar que una firma corresponde o no corresponde a la persona a la que se atribuye
  8. Soporte duradero: El documento electrónico está a disposición del firmante en el momento de la firma y en cualquier momento futuro en que requiera tener acceso a el.

Muchos centros de salud, hospitales, clínicas, centros médicos, sociedades de prevención de riesgos, centros odontológicos, y centros de salud están implantando estos sistemas de consentimiento informado electrónico adoptando la firma manuscrita digitalizada avanzada y pueden certificar ahora que las soluciones implantadas cumplen las mejores prácticas en relación con este tipo de firmas gracias al sistema de auditoría de EADTrust. O, en caso de que no las cumplan, solicitar los cambiospertinentes a sus proveedores tecnológicos.

Para más información contacte con EADTrust llamando al 902 365 612 o +34 91 716 0555

Leer más >