Firma con CSV en sedes electrónicas

La normativa española permite el uso de mecanismos alternativos a la firma electrónica basada en certificados en algunos casos. Existen diferentes sistemas basados en la estampación de un Código Seguro de Verificación (CSV en adelante) en los documentos electrónicos gestionados por las plataformas de administración electronica.

El objetivo de esta solución es la eliminación de la principales barreras en el uso de los certificados electrónicos por parte de los usuarios (petición, renovación, revocación,…). Para una preservación a largo plazo de estos documentos electrónicos, se emplean sellos de organismos, que son certificados electrónicos de entidad que permiten el uso de la firma electrónica mediante procesos delegados y desatendidos.

Marco normativo

La Ley 11/2007 prevé dos casos de uso de los códigos seguros de verificación (CSV):

  1. El artículo 18.1.b autoriza el uso de un CSV para la identificación y autenticación del ejercicio de la competencia en la actuación administrativa automatizada junto con la posibilidad del uso de un sello de tiempo. El artículo establece que debe permitirise “en todo caso la comprobación de la integridad del documento mediante al acceso a la sede electrónica correspondiente”.
  2. El artículo 30.5 señala que “las copias realizadas en soporte papel de documentos públicos administrativos emitidos por medios electrónicos y firmados electrónicamente tendrán la consideración de copias auténticas siempre que incluyan la impresión de un código generado electrónicamente u otros sistemas de verificación que permitan contrastar su autenticidad mediante el acceso a los archivos electrónicos de la Administración Pública, órgano o entidad emisora.”

De acuerdo a esta legislación, el único dato necesario para acceder al documento o al contenido del trámite será el CSV. Sin embargo, es necesario implementar un conjunto de medidas adicionales para garantizar la protección de la confidencialidad.

La ley fue parcialmente desarrollada en el Real Decreto 1671/2009, artículo 20, y en el Real Decreto 1065/2007, que indica en su artículo 86 que “las copias realizadas en soporte de papel de documentos públicos administrativos emitidos por medios electrónicos y firmados electrónicamente tendrán la consideración de copias auténticas, siempre que incluyan la impresión de un código seguro de verificación generado electrónicamente u otros sistemas de verificación que permitan contrastar su autenticidad mediante el acceso a los archivos electrónicos de la Administración pública, órgano u organismo emisor.”

  • La firma manuscrita podrá ser sustituida por un CSV que permite verificar su contexto, autenticidad y validez mediante medios telemáticos (conexión web con la administración)
  • Es posible superponer una firma electrónica al CSV, a través de un sello de organismo, para verificar la autenticidad

Escenarios de aplicación del CSV

De acuerdo a la regulación expuesta, los siguientes casos de uso para el CSV pueden ser identificados:

  • Actuación administrativa automatizada
  • Expedición de certificados telemáticos
  • Expedición de copias de documentos

La producción de un CSV debe adaptarse a los siguientes criterios:

  • El código debe proteger los datos contenidos en el documento. Cualquier cambio debe invalidar el documento.
  • No debe ser posible obtener documentos mediante el tecleo de datos aleatorios. Se recomienda el uso de algoritmos HMAC mediante hash robusto (por ejemplo, SHA-256).
  • Se debe garantizar que no existan repeticiones y que no pueden ser obtenidos otros códigos a partir de uno dado utilizando operaciones simples de adición o sustracción.

Los documentos electrónicos administraticos que no se ajusten a los casos de uso descritos, deberían ser emitidos utilizando sistemas de firma electrónica reconocida que identifiquen al empleado público o al responsable de la comunicación o la resolución. Por lo que en este caso, el uso del sello de organismo o el uso de un CSV no es admisible.

Uso del sello de órgano

El certificado de sello de órgano puede ser aplicado en los siguientes casos:

  • Emisión de acuses de recibo por correo electrónico
  • Actualizaciones automatizadas (inicio de procedimiento, comunicaciones al ciudadano…)
  • Emisión automatizada de copias auténticas de documentos electrónicos
  • Digitalización de documentos en papel
  • Intercambio automatizado de documentación entre administraciones públicas

Escenario de uso del CSV

  1. La sede electrónica envía:
    1. Un documento PDF (con los metadatos obligatorios incluidos)
    2. Una clave simétrica preasignada al empleado público (para identificar al firmante)
  2. El componente CSV genera un código único y lo imprime en el documento, para generar un PDF/a
  3. El componente CSV firma el documento con el sello de órgano en formato AdES-XL para garantizar su preservación

firma-csv

En caso de que la firma electrónica reconocida sea requerida en vez del sello de órgano, el documento debería retornar a la sede electrónica para que el empleado público la firmase con su propio certificado.

Servicio de validación de CSV

El ciudadano dispondrá de una aplicación web en la que será capaz de recuperar el documento electrónico con el código CSV y un elemento de seguridad adicional que pertenezca al documento (por ejemplo, el NIF del ciudadano).
El sistema se encargará de la recuperación del documento electrónico en el gestor documental y de mostrar su contexto, firma electrónica y metadatos.

* Artículo reconstruído del desaparecido http://blog.tb-solutions.com/index.php/2011/07/firma-con-csv-en-sedes-electronicas/ 

2 comentarios en “Firma con CSV en sedes electrónicas

  1. Hola,

    Antes de nada, gracias por tu post, es de gran ayuda.
    Estamos desarrollando la Sede electrónica de un organismo público y tenemos algunas dudas acerca del tratamiento de los documentos electrónicos generados a partir de ficheros o información que no están en un formato “imprimible” (como vídeos, formularios html, ficheros comprimidos). Según la legislación, son formatos válidos para un documento electrónico, pero evidentemente no vemos posible su manipulación para la inserción del código CSV.
    La interpretación que hacemos de la documentación oficial es que como tu dices, el código CSV es un medio alternativo o complementario a la firma firma mediante certificado digital, y necesario en todo caso para copias en papel de los documentos, pero en ningún caso obligatorio.
    ¿Cómo lo ves desde tu punto de vista y experiencia?

    Un saludo

  2. El CSV nunca ha sido obligatorio en ninguna regulación. Lo han hecho “obligatorio” los integradores y las administraciones. Lo único que puede tener validez jurídica debe ser una firma electrónica. Así que desde mi punto de vista y experiencia: os felicito.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s