Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Marco legal de la
firma electrónica
Una de las pioneras fue la Ley de Firma Electrónica del Estado de Utah, de
1995, que ya entonces regulaba el papel de las Autoridades de Certificación, los
certificados digitales y los dispositivos de firma electrónica basados en criptografía de
clave pública.
La Ley ofrece las siguientes definiciones sobre la Firma Electrónica (Art. 3):
1
“Advanced Electronic Signature”.
2
“Qualified Electronic Signature”.
© RA-MA ANEXO X: MARCO LEGAL DE LA FIRMA ELECTRÓNICA 5
¾ Documentos privados.
La Ley define los “datos de creación de firma” como los datos únicos que el
firmante utiliza para crear la firma electrónica y que podrían ser códigos o claves
criptográficas privadas. A su vez, un Dispositivo de Creación de Firma (Art. 24) es
un programa o sistema informático que sirve para aplicar los datos de creación de
firma. La propia Ley afirma que en la actualidad la tecnología más común y aceptada
para implementar un dispositivo seguro de creación de firma es una tarjeta inteligente.
Por su parte, los “datos de verificación de firma” son los datos, como códigos
o claves criptográficas públicas, que se utilizan para verificar la firma electrónica. La
Ley considera que un Dispositivo de Verificación de Firma (Art. 25) es un programa
o sistema informático que sirve para aplicar los datos de verificación de firma.
3
“Secure Signature-Creation Device” (SSCD).
6 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA
¾ Que existe una seguridad razonable de que los datos utilizados para la
generación de firma no pueden ser derivados de los de verificación de
firma o de la propia firma.
¾ Que los datos de creación de firma pueden ser protegidos de forma fiable
por el firmante contra su utilización por terceros.
4
CWA: CEN Workshop Agreements, siendo el CEN el Comité Europeo de
Normalización (Comité Européen de Normalisation).
© RA-MA ANEXO X: MARCO LEGAL DE LA FIRMA ELECTRÓNICA 7
las obligaciones que se comprometen a cumplir en relación con la gestión de los datos
de creación y verificación de firma y de los certificados electrónicos; las condiciones
aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los
certificados; las medidas de seguridad técnicas y organizativas; los perfiles y los
mecanismos de información sobre la vigencia de los certificados.
5
“Qualified Certificate”.
8 ENCICLOPEDIA DE LA SEGURIDAD INFORMÁTICA © RA-MA
¾ Los límites del valor de las transacciones para las que puede
utilizarse el certificado, si se establecen.
Tal podría ser el caso, por ejemplo, cuando éste no compruebe y tenga en
cuenta las restricciones que figuren en el certificado electrónico en cuanto a sus
posibles usos y al importe individualizado de las transacciones que puedan realizarse
con él, cuando no verifique la firma electrónica o bien cuando no tenga en cuenta la
revocación del certificado electrónico publicada en el servicio de consulta sobre la
vigencia de los certificados.