Nos integramos con ValidarT

FIRMA PAGARÉS, CARTA DE INSTRUCCIÓN, VINCULACIONES, CONTRATOS, SOLICITUDES

Con Mensajero Digital

ValidarT entre otros es un  método de firma electrónica certificada con base en la Ley 527 de 1999 y Decreto 2364 de 2012.

SUSTENTO NORMATIVO

Artículo 7 de la Ley 527 de 1999 se consagró el equivalente electrónico de la firma.

Se considera el comercio electrónico como motor de crecimiento de la economía  del siglo XXI y factor que contribuye a fomentar la competitividad empresarial de las Pymes y Mipymes a través del uso de las tecnologías de información y comunicación.

Que para impulsar el desarrollo del comercio electrónico, internacionalmente se ha recomendado promover enfoques apropiados para el reconocimiento legal de firmas electrónicas bajo el principio de neutralidad tecnológica, previsto en el numeral 6 del artículo 2 de la Ley 1341 de 2009.

Que la firma electrónica representa un medio de identificación electrónico flexible y tecnológicamente neutro que se adecúa a las necesidades de la sociedad.

Que de conformidad con el artículo 15.6 del Tratado de Libre Comercio suscrito con los Estados Unidos de América, aprobado por la Ley 1143 de 2007, no se podrá adoptar o mantener legislación sobre autenticación electrónica que impida a las partes en una transacción electrónica determinar en forma mutua los métodos apropiados de autenticación o que les impida establecer, ante instancias judiciales o administrativas, que la transacción electrónica cumple con cualquier requerimiento legal con respecto a la autenticación.

Que ante la evolución de las innovaciones tecnológicas, es necesario establecer criterios para el reconocimiento jurídico de las firmas electrónicas independientemente de la tecnología utilizada.

Que en el documento CONPES 3620 de 2009 se recomendó promover el uso de la firma electrónica como esquema alternativo de la firma digital.

Que el artículo 244 del Código General del Proceso adoptado mediante la Ley 1564 de 2012, establece que se presumen auténticos los documentos en forma de mensajes de datos.

Y se decretó:

Artículo 1. Definiciones. Para los fines del presente decreto se entenderá por:

  1. Acuerdo sobre el uso del mecanismo de firma electrónica: Acuerdo de voluntades mediante el cual se estipulan las condiciones legales y técnicas alas cuales se ajustarán las partes para realizar comunicaciones, efectuar transacciones, crear documentos electrónicos o cualquier otra actividad mediante el uso del intercambio electrónico de datos.

  2. Datos de creación de la firma electrónica: Datos únicos y personalísimos, que el firmante utiliza para firmar.

  3. Firma electrónica: Métodos tales como, códigos, contraseñas, datos biométricos, o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos, siempre y cuando el mismo sea confiable y apropiado respecto de los fines para los que se utiliza la firma, atendidas todas las circunstancias del caso, así como cualquier acuerdo pertinente.

  4. Firmante. Persona que posee los datos de creación de la firma y que actúa en nombre propio o por cuenta de la persona a la que representa.

Artículo 2. Neutralidad tecnológica e igualdad de tratamiento de las tecnologías para la firma electrónica. Ninguna de las disposiciones del presente decreto será aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier método, procedimiento, dispositivo o tecnología para crear una firma electrónica que cumpla los requisitos señalados en el artículo 7 de la Ley 527 de 1999.

Artículo 3. Cumplimiento del requisito de firma. Cuando se exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea tan confiable como apropiada para los fines con los cuales se generó o comunicó ese mensaje.

Artículo 4. Confiabílidad de la firma electrónica. La firma electrónica se considerará confiable para el propósito por el cual el mensaje de datos fue generado o comunicado si:

  1. Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante .

  2. Es posible detectar cualquier alteración no autorizada del mensaje de datos, hecha después del momento de la firma.

Artículo 5. Efectos jurídicos de la firma electrónica. La firma electrónica tendrá la misma validez y efectos jurídicos que la firma, si aquella cumple con los requisitos establecidos en el artículo 3 de este decreto.

Artículo 6. Obligaciones del firmante. El firmante debe:

  1. Mantener control y custodia sobre los datos de creación de la firma.

  2. Actuar con diligencia para evitar la utilización no autorizada de sus datos de creación de la firma.

  3. Dar aviso oportuno a cualquier persona que posea, haya recibido o vaya a recibir documentos o mensajes de datos firmados electrónicamente por el firmante, si:

    1. El firmante sabe que los datos de creación de la firma han quedado en entredicho; o

    2. Las circunstancias de que tiene conocimiento el firmante dan lugar a un riesgo considerable de que los datos de creación de la firma hayan quedado en entredicho.

Parágrafo. Se entiende que los datos de creación del firmante han quedado en entredicho cuando estos, entre otras, han sido conocidos ilegalmente por terceros, corren peligro de ser utilizados indebidamente, o el firmante ha perdido el controlo custodia sobre los mismos y en general cualquier otra situación que ponga en duda la seguridad de la firma electrónica o que genere reparos sobre la calidad de la misma.

Artículo 7. Firma electrónica pactada mediante acuerdo. Salvo prueba en contrario, se presume que los mecanismos o técnicas de identificación personal o autenticación electrónica según el caso, que acuerden utilizar las partes mediante acuerdo, cumplen los requisitos de firma electrónica.

¿Cuál es el resultado de usar ValidarT como método de Firma Electrónica ?

El resultado es un documento PDF-A, Integro y firmado electrónicamente  utilizando el teléfono celular + Clave Dinámica (OTP) y la voz como método de firma, el cual contiene  entre otros  certificados digitales, sellos de tiempo y toda la trazabilidad de la transacción. El documento queda almacenado automaticamente en Mensajero Dgital.

Conceptos Técnicos

La autentificación es el proceso por el cual un sistema informático valida positivamente a un usuario y es considerado como uno de los puntos más débiles en la seguridad informática actualmente. Cada día surge una nueva noticia acerca de un fraude o incidente informático en el que se ha comprometido el robo de identidad digital. Con la proliferación de las conexiones remotas y el “cloud computing” en las empresas y el aumento en las compras por internet y la   banca en línea se prevé que esa  tendencia de noticias continuará.

Los sistemas de validación y autenticación que se basan únicamente en los nombres de usuario y contraseñas están sujetos a una serie de vulnerabilidades, las contraseña establecidas por los usuario son extraídas a través de software malicioso como key loggers, phishing, man-in-the-middle entre otros.

Múltiples factores de autenticación añaden una capa  de seguridad a los ingresos de sesión de usuario y transacciones. Funciona al requerir dos o más factores o cualquiera de las siguientes combinaciones de factores:

  • Algo que sabe la persona (por lo general una contraseña u OTP)

  • Algo que tiene la persona (un dispositivo de confianza que no es fácilmente duplicada, como puede ser el teléfono celular)

  • Algo que es la persona (un rasgo biométrico )

La seguridad de validación y autenticación de múltiples factores reside en su enfoque por capas. Comprometer múltiples factores de autenticación presenta un reto significativo para los atacantes. Incluso si un atacante logra conocer la contraseña del usuario, le será inútil si no tiene también la posesión del dispositivo de confianza. O a la inversa, si el usuario pierde el dispositivo le será inútil al atacante no conocer la contraseña del usuario.

Hasta el momento el predominio de los factores múltiples de sistemas de autenticación han sido los tokens de seguridad como los SecurID de RSA. Los tokens de seguridad se basan en un token de hardware que genera un One-Time- Password (OTP) de acceso. El usuario debe introducir ese codigo en la pantalla de inicio de sesión para verificar que tienen la posesión del dispositivo de confianza.

Mientras que los tokens de seguridad proporcionan un nivel adicional de seguridad a través de un segundo factor de autenticación, han demostrado ser engorrosos para los departamentos de TI y los usuarios de estos. Además, las amenazas más sofisticadas han surgido que puede suplantar derrotar estos tokens de seguridad.

Un sistema de validación autenticación aprovechando el uso del teléfono celular se utiliza como un dispositivo de confianza de segundo factor de autenticación ya que los teléfonos son extremadamente difíciles de duplicar y los números de teléfono son muy difíciles de interceptar.

Aprovechando un dispositivo ubicuo como es el celular como un elemento para realizar ingresos o validar la identidad a los portales y para las operaciones financieras proporciona una serie de beneficios para los usuarios finales y los administradores en los departamentos de TI.

El teléfono es un dispositivo intrínsecamente fácil de usar y es accesible para todo tipo de personas. Todo el mundo sabe cómo usar un teléfono, así que no hay requerimientos de formación a los usuarios.

Los teléfonos celulares se han convertido en una parte fundamental de la vida cotidiana de la gran mayoría de personas de todos los grupos demográficos. La gente no puede ir a una parte diferente de su casa sin llevar consigo su teléfono celular. La penetración de los teléfonos celulares es mayor al 95% en Colombia, por lo cual utilizar el teléfono como dispositivo para la autenticación es una extensión natural de sus capacidades. Los usuarios no quieren llevar elementos o poner otro objeto que cuelgue en su llavero. Los tokens de seguridad y otros dispositivos de dos factores se pierden con facilidad o son olvidados por los usuarios. Si un usuario pierde o daña su teléfono, generalmente su remplazo lo realiza rápidamente.

Los usuarios hoy en día quieren tener la libertad para acceder a un sitio desde cualquier dispositivo: PCs, portátiles, televisores y teléfonos móviles, y lógicamente poder acceder desde cualquier lugar, incluyendo cafés de internet, aeropuertos WI-FI, oficinas remotas y sitios de clientes. Esta gran variedad de dispositivos y de puntos de conexión representan retos significativos para los departamentos de TI, sin contar que la necesidad de este nivel de portabilidad de los usuarios seguirá aumentando en el futuro. El Teléfono celular basado en la autenticación, proporciona este nivel de flexibilidad, el mismo teléfono puede ser utilizado para validar y autenticar en cualquier aplicación, desde cualquier dispositivo, y funciona en cualquier parte del mundo.

El teléfono, por la naturaleza de su comunicación interactiva, ofrece una variedad de opciones de autenticación fuerte de varios factores que otros métodos simplemente no lo podrían hacer. Estas opciones sólo continuarán expandiéndose a medida que avanza la tecnología móvil. El esquema de OUT-OF-BAND complementa el segundo factor de autenticación a través de un canal único y separado a una conexión Internet lo cual brinda protección adicional contra ataques como man-in-the-middle y browser in the middle.

Para una entidad o compañía que quiera implementar un sistema de autenticación con dispositivos de hardware de seguridad como son los  tokens físicos OTP deben tener en cuenta lo siguiente costos:

  • Costos en Logística: Se requiere aprovisionar, inventariar estos  dispositivos y enviarlos  en forma física a sus destinatarios.

  • Costos en recursos IT: Se requiere en su implementación importantes recursos de apoyo TI. Los costos resultantes para un departamento de TI pueden convertirse en una parte sustancial del coste total de propiedad.

  • Pérdidas de dispositivos: Se debe tener en cuenta que estos dispositivos de seguridad se pierden en una tasa del 10% anual.

  • Re-abastecimiento: Estos dispositivos tienen una fecha de vencimiento entre  2-6 años lo cual periódicamente se incurre en compras de dispositivos y en la logística asociado a la entrega.

  • Soporte técnico: Frecuentemente estos dispositivos presentan problemas técnicos en su sincronización con el servidor central.

  • Responsabilidad social empresarial y Green IT: La Ley 070 de 2010 sobre la responsabilidad empresarial en Colombia expresa entre sus  apartes que las empresas deberán implementar estrategias para  prevenir y minimizar los impactos y riesgos  a los seres humanos y al medio ambiente. Las empresas al desplegar los tokens OTP fisisco,se harían DIRECTAMENTE responsables, porque generalmente estos dispositivos la mayoría no están diseñados ecoGreen IT y  no están diseñados bajo directivas internacionales como  ROHS  (Reduction of Hazard Substances), EPEAT, ISO 14001. Sin duda el despliegue de estos dispositivos contribuyen a la contaminación del medio ambiente y al aumento de la huella de carbono.

Por otro lado, usando el teléfono celular como un dispositivo de autenticación, las compañías y entidades tiene la gran ventaja que no requieren el desplegar dispositivos especiales de autenticación a sus usuarios. Puede ser rápidamente habilitados para un gran número de usuarios geográficamente diversos y es rentable para configurar y mantener.

La usabilidad, la seguridad y la escalabilidad representan los principales factores  para la adopción de teléfono  celular  como elemento de seguridad para la autenticación.

Características de la plataforma

  • Capaz de llamar a los usuarios a cualquier parte del mundo y a cualquier teléfono ya sea fijo o celular. (confirma posesión solo se hará la llamada al número celular que la entidad tiene registrada del usuario)

  • Capaz de hablar: Ejemplo: “Va a ingresar al portal de la compañía ACME, para validar su ingreso” o “esta validando la generación de una póliza de seguros por un valor de $8,000.000 a la cuenta que termina en 444”

  • Capaz de Generar códigos OTP: códigos de un solo uso con validez temporal limitada.

  • Capaz de utilizar OTP en doble canal: internet y voz. El OTP puede ser mostrado en una pantalla web, o puede ser entregado en la llamada telefónica o puede ser remitido por mensaje SMS o correo electrónico

  • Capaz de Entender Dígitos (0-9): para garantizar que el usuario recita correctamente los números que se le presentan o que el usuario lo pueda digitar en el teléfono o pueda colocarlo como respuesta a una solicitud hecha en pantalla de una aplicación.

  • Capaz de validar pines de seguridad: a través del teclado del teléfono. Al exigir al usuario que verifique también un PIN secreto, ValidarT puede además asegurar que el usuario tiene la posesión del teléfono al el momento de la autenticación.

  • Capaz de generar evidencias: Generamos evidencias como las trazas y las grabaciones de voz, como el también el uso de los certificados digitales y sellos de tiempo para blindar las evidencias en su autenticidad, integridad y no repudiación y validez en el tiempo.

Perfecta integración con Mensajero Digital

ValidarT ofrece integración instantánea con Mensajero Digital,

Create A product first!

Create a product first please!