D. Fernando Pino
Cofundador de Validated ID
Firma biométrica
Tecnología al servicio
de la seguridad jurídica
Irailak 26 – ...
¿Qué es la firma biométrica?
 Firma biométrica, firma digitalizada, firma electrónica manuscrita
son diferentes denominac...
Igual que pasa con el papel, capturando los
datos biométricos suficientes, un perito calígrafo
puede atribuir una firma a ...
¿Es una firma electrónica? ¿De qué tipo?
Ley 59/203 de Firma Electrónica
Artículo 3 Firma electrónica, y documentos firmad...
Según la ley de firma electrónica
No se negarán efectos jurídicos a una
firma electrónica que no reúna los
requisitos de f...
¿Importa?
 Si se impugnare la autenticidad de la firma electrónica reconocida con la que se
hayan firmado los datos incor...
¿Importa?
 La firma electrónica reconocida ofrece un medio de prueba «a
priori» (con matices), es decir, si se cumplen ci...
Validez de la firma
Se requiere, la presentación de una
prueba robusta que no permita
albergar la más mínima duda
respecto...
Riesgos
Reutilización Falsificación Engaño
9
Riesgos
Contrato A Contrato B
 Duplicación de firmas
 Alteración de firmas
 Protección de datos
personales
 …
Integrid...
Riesgos
¿WYSIWYS (lo que ves es lo que firmas)?
11
Entonces … ¿la biometría es suficiente?
SI
(no se negarán
efectos jurídicos)
Pero NO
(es una prueba
muy poco robusta)
12
Elementos de confianza
Los dispositivos El software El servicio
Los dispositivos empleados deben
cumplir con unas premisas...
El tercero de confianza
 Es importante contar con un
tercero independiente sin
interés en la operativa de firma
que garan...
El resultado
Firmas electrónicas manuscritas tecnológicamente equivalentes a
las avanzadas y compatibles con las reconocid...
Garantías
INVIOLABILIDAD DEL
SISTEMA
La firma se realiza en dispositivos dedicados o aislados
tecnológicamente de la aplic...
¡Muchas gracias por su atención!
Mila esker zuen arretagatik!
“La firma biométrica”
I Jornada Asociación Vasca de Privacid...
Upcoming SlideShare
Loading in …5
×

I jornada PRIBATUA: La firma biométrica (validatedid)

2,317 views

Published on

Ponencia de la I Jornada de PRIBATUA: "La firma biométrica", por parte de validatedid

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,317
On SlideShare
0
From Embeds
0
Number of Embeds
1,746
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

I jornada PRIBATUA: La firma biométrica (validatedid)

  1. 1. D. Fernando Pino Cofundador de Validated ID Firma biométrica Tecnología al servicio de la seguridad jurídica Irailak 26 – 2013 – 26 de septiembre / Centro de conocimiento Bake Eder - Getxo I Jornada “La firma biométrica” Asociación Vasca de Privacidad y Seguridad de la información Pribatutasun eta informazio Segurtasuneko Euskal Elkartea
  2. 2. ¿Qué es la firma biométrica?  Firma biométrica, firma digitalizada, firma electrónica manuscrita son diferentes denominaciones dadas a aquella firma que se sirve como medio de identificación del firmante de determinados rasgos de identificación física únicos (en este caso la firma manuscrita)  Por tanto …  La firma debe ser dinámica 2
  3. 3. Igual que pasa con el papel, capturando los datos biométricos suficientes, un perito calígrafo puede atribuir una firma a una persona. • Coordenada espacial x(t) • Coordenada espacial y(t) • Presión p(t) • Azimuth az(t) • Inclinación in(t) Elemento fundamental para la seguridad jurídica del sistema Firma basada en Biometría 3
  4. 4. ¿Es una firma electrónica? ¿De qué tipo? Ley 59/203 de Firma Electrónica Artículo 3 Firma electrónica, y documentos firmados electrónicamente 1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. 2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. 3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. 4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel. SIMPLE AVANZADA RECONOCIDA 4
  5. 5. Según la ley de firma electrónica No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica. Ley 59/2003 de firma electrónica Artículo 3. Apartado 9 5
  6. 6. ¿Importa?  Si se impugnare la autenticidad de la firma electrónica reconocida con la que se hayan firmado los datos incorporados al documento electrónico se procederá a comprobar que se trata de una firma electrónica avanzada basada en un certificado reconocido, que cumple todos los requisitos y condiciones establecidos en esta Ley para este tipo de certificados, así como que la firma se ha generado mediante un dispositivo seguro de creación de firma electrónica.  La carga de realizar las citadas comprobaciones corresponderá a quien haya presentado el documento electrónico firmado con firma electrónica reconocida. Si dichas comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de la firma electrónica reconocida con la que se haya firmado dicho documento electrónico siendo las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 120 a 600 euros.  Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil. 6
  7. 7. ¿Importa?  La firma electrónica reconocida ofrece un medio de prueba «a priori» (con matices), es decir, si se cumplen ciertos requisitos técnicos la firma se considera válida  El resto de las firmas, incluyendo la manuscrita sobre papel, la avanzada y la simple ofrecen pruebas «a posteriori», es decir, en el marco de un litigio si ésta se pone en duda se deberá demostrar su validez o invalidez en caso de controversia aportando evidencias suficientes: informe de un perito calígrafo, información de contexto, …  La firma electrónica manuscrita no deja de ser una firma manuscrita y los medios de prueba están más cerca de la firma tradicional que de los electrónicos. 7
  8. 8. Validez de la firma Se requiere, la presentación de una prueba robusta que no permita albergar la más mínima duda respecto a su autoría y autenticidad. Aspectos como el momento en el que se realizó la firma, el lugar de realización, la tecnología empleada, el contenido del documento firmado o la participación de terceros independientes reforzarán en gran medida las evidencias electrónicas obtenidas. La finalidad última es la posibilidad de demostrar en un proceso litigioso la validez de las firmas presentadas, lo que supone a su vez que estas lleven asociados unos datos biométricos, que estos sean susceptibles de una valoración caligráfica digital, que estén asociados de forma única al documento, que se garantice la integridad del documento, la identidad de su autor, … 8
  9. 9. Riesgos Reutilización Falsificación Engaño 9
  10. 10. Riesgos Contrato A Contrato B  Duplicación de firmas  Alteración de firmas  Protección de datos personales  … Integridad – Autenticidad - Confidencialidad 10
  11. 11. Riesgos ¿WYSIWYS (lo que ves es lo que firmas)? 11
  12. 12. Entonces … ¿la biometría es suficiente? SI (no se negarán efectos jurídicos) Pero NO (es una prueba muy poco robusta) 12
  13. 13. Elementos de confianza Los dispositivos El software El servicio Los dispositivos empleados deben cumplir con unas premisas obligatorias de captura de elementos biométricos necesarios para la formación de evidencias (velocidad de traza, presión, …). No todos los dispositivos proporcionan información de presión, siendo este dato fundamental para hacer una valoración caligráfica fiable. El uso de tabletas de firma y dispositivos de captura por sí mismos y de forma aislada no son capaces de garantizar la integridad y autenticidad del documento firmado. Se debe emplear una combinación de varios elementos tecnológicos:  La biometría, (la información recogida del dispositivo).  La criptografía, mediante el uso de certificados digitales y diversos algoritmos de cifrado. • Evidencias de contexto, que permiten complementar las evidencias biométricas y criptográficas. Se debe garantizar que ninguno de los intervinientes en la firma puede realizar modificaciones ni sobre el documento que se va a firmar ni sobre los datos que se generan en el propio proceso. El servicio y toda la seguridad asociada al mismo está garantizada por la figura del tercero de confianza que presta el servicio. 13
  14. 14. El tercero de confianza  Es importante contar con un tercero independiente sin interés en la operativa de firma que garantice que todo el proceso es correcto  El tercero debe velar porque no se manipule la información y que el firmante sepa lo que está firmando (WYSIWYS) La formación y control de las evidencias puede restar credibilidad a los documentos firmados 14
  15. 15. El resultado Firmas electrónicas manuscritas tecnológicamente equivalentes a las avanzadas y compatibles con las reconocidas 15
  16. 16. Garantías INVIOLABILIDAD DEL SISTEMA La firma se realiza en dispositivos dedicados o aislados tecnológicamente de la aplicación que solicita la firma. TERCERO DE CONFIANZA El tercero de confianza asegura que el documento que se muestra coincide con el documento que se va a firmar (WYSIWYS - What You See Is What You Sign). EVIDENCIAS ADICIONALES Adicionalmente se pueden recoger otras evidencias como el dispositivo con el que se realizó la firma, el momento exacto de generación, el lugar (coordenadas GPS), huella dactilar, fotografía del firmante, validación de documentos oficiales INTEGRIDAD ViDSigner realiza una firma electrónica avanzada sobre el documento más sus metadatos mediante un certificado de un solo uso generado con los datos del firmante expresamente para esa transacción, dotando así de integridad al documento. AUTENTICIDAD ViDSigner garantiza la autenticidad del documento mediante la inclusión de las evidencias de firma tales como los datos biométricos de la firma. CONFIDENCIALIDAD Los datos biométricos están protegidos ya que se encuentran cifrados en el documento y la clave que los protege se encuentra custodiada por un notario VINCULACIÓN ÚNICA Los datos biométricos no pueden ser trasladados a otro documento ya que se encuentran vinculados a través de su hash con el documento original, por tanto el documento y el firmante quedan vinculados biunívocamente 16
  17. 17. ¡Muchas gracias por su atención! Mila esker zuen arretagatik! “La firma biométrica” I Jornada Asociación Vasca de Privacidad y Seguridad de la información Pribatutasun eta informazio Segurtasuneko Euskal Elkartea Irailak 26 – 2013 – 26 de septiembre / Centro de conocimiento Bake Eder - Getxo

×