European Agency of Digital Trust ha elaborado una lista de comprobación para evaluar la adopción de las mejores prácticas en los sistemas de gestión de la firma electrónica avanzada cuando se utiliza la voz (y su información biométrica específica) como datos de creación de la firma.
El REGLAMENTO (UE) Nº 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 sobre la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE /EIDAS) define la firma electrónica avanzada en su artículo 26:
- Una firma electrónica avanzada deberá cumplir los siguientes requisitos:
- Estar vinculada al firmante de forma única;
- Es capaz de identificar al firmante
- Se crea utilizando datos de creación de la firma electrónica que el firmante puede, con un alto nivel de confianza, utilizar bajo su exclusivo control; y está vinculada a los datos firmados con ella de tal manera que cualquier cambio posterior en los datos es detectable.
Es evidente que la firma vocal:
- Está vinculada de forma única al firmante;
- Es capaz de identificar al firmante;
- Está, con un alto nivel de confianza, bajo el control exclusivo del firmante.
Sin embargo, para cumplir con todos los requisitos, una solución de firma electrónica avanzada también debe garantizar:
- Está vinculada a los datos firmados con ella de tal manera que cualquier cambio posterior en los datos sea detectable.
Las mejores prácticas definidas por EADTrust también exigen requisitos adicionales:
- Prueba de la concesión del consentimiento por parte del firmante en relación con un documento de su propia voz y la vinculación de la prueba al documento.
- Resistencia a las simulaciones de voz pregrabada y a los sintetizadores de voz por parte de posibles suplantadores (phishers).
- Simetría probatoria. Disponibilidad inmediata del documento para el firmante y recursos probatorios a un coste acorde con los aplicados a las firmas en papel.
- Medio duradero como soporte de la firma. Persistencia del documento para que las partes puedan probar la identidad de los firmantes y el contenido del documento en cualquier momento futuro.
- Posibilidad de verificación de la firma vocal y del contenido del documento por parte del firmante de forma sencilla, a través de la versión degradada del sonido del habla pronunciado por el firmante.
- Imposibilidad de recuperar la voz grabada de alta calidad por parte de la organización que aplica la tecnología y de incrustar la firma vocal en otros documentos.
- Posibilidad de comparar la voz grabada de alta calidad con voces conocidas del firmante en un contexto forense y de resolución de conflictos.
- Posibilidad de generar documentos híbridos válidos en papel y en formato electrónico.
- Disponibilidad de información a los firmantes o a sus representantes legales sobre el método de aportación de pruebas y su análisis dentro de un litigio.
- Protección de la información personal de acuerdo con la Ley de Privacidad. Existencia de un plan de respuesta a la violación de datos
European Agency of Digital Trust (EADTrust) es el primer auditor de seguridad acreditado para realizar evaluaciones sobre la Firma Vocal Avanzada siguiendo los principios mencionados. Puede contactar con ellos llamando al +34 91 7160555.
Si te ha gustado el artículo, visita nuestro blog.