COMPARTE

La gestión de las firmas digitales: un quebradero de cabeza para la gestión documental
PDF Imprimir E-mail
Lunes, 18 de Julio de 2011 11:31

El desarrollo temprano y puntero de los certificados de firma digital y de las autoridades de certificación en España, tiene mucho de positivo en la seguridad de nuestras transacciones; pero para la gestión documental y sus profesionales es un continuo quebradero de cabeza.

Concretamente lo que nos produce un sinfín de problemas a la hora de implantar la gestión de documentos electrónicos y especialmente a lo largo del tiempo, parte de la interpretación de que si un documento electrónico no ha sido firmado con un certificado digital no es válido.  Pero también parte de una forma específica de entender que significa firmar un documento. Y una vez aceptada estas premisas entender que no sólo hay que gestionar los documentos a lo largo del tiempo sino también sus firmas.

Esta aproximación ha quedado reflejada en nuestras Normas Técnicas de Interoperabilidad aplicables en las administraciones públicas, cuyos borradores han sido publicados en el Portal de la e-Administración tanto en inglés como en español. Sobre una concepción inicial estas normas han tenido que aceptar “otros tipos de firma” mucho más sencillas como el CSV (código seguro de verificación) de la Agencia Tributaria, pero que al añadirse sobre lo demás noDNI con certificado digital quita sino añade complejidad al modelo.

 Así que de esta forma los profesionales de la gestión documental nos encontramos   resolviendo nuevos problemas de gestión y conservación de firmas. ¿Cuándo en el mundo papel si alguien pide consultar un documento en un archivo tiene el archivero que salir corriendo al archivo de firmas (que por cierto no existe) para comprobar que la firma sigue siendo válida, o lo fue en el archivo de firmas longevas (que por cierto tampoco existe)? O ¿Cuándo ante una acción necesaria de preservación del documento en papel (por cierto en esto también somos punteros) por ejemplo por el efecto de unas tintas ferruginosas nos hemos tenido que plantear que la firma iba a dejar de ser válida y el documento auténtico?

Pero … esto es lo que hay. Así que algunas pinceladas sobre los problemas que nos vamos a encontrar:

  • El primero es cómo parametrizar la aplicación de gestión documental. Los EDRMS (Enterprise Document and Records Management Systems) que existen en el mercado no se han planteado la gestión de las firmas, como lo estamos haciendo aquí. El módulo opcional de MoReq2 no se cumple (al menos que yo sepa) por ninguna aplicación comercializada en el mercado, entre otras cosas porque sus requerimientos son vagos (ya dice en su introducción que el tema está en pañales) y en algunos casos un  poco difíciles de compatibilizar con otros que no son opcionales. En MoReq2010 ni se menciona y  las ISO-16175 se limitan a prevenirnos de los riesgos para la usabilidad y recomendarnos que la información se recoja en metadatos. Y en la práctica significa abrir la cartera para pagar personalizaciones de las herramientas, que ya han costado un buen pellizco. Mi consejo tratar de simplificar la complejidad y aplicar un modelo único aunque la variedad de posibles firmas electrónicas sea grande.
  • MoReq
  • El segundo, aceptando el consejo de las ISO-16175, es capturar en metadatos toda la información valiosa de las firmas. Aquí nos damos cuenta la falta de normalización y criterio de la información textual de los certificados digitales. Nuestro papel es insistir y explicar que ya que nos hemos metido en este lío al menos que nos sirva para algo. Solo un ejemplo, salvo en los documentos que firmas como ciudadano, lo más importante de una firma es en calidad de que estás firmando como por ejemplo apoderado de una empresa o jefe de servicio de una administración. Empeñarnos en recoger esta información como metadatos es algo que a la larga será igual de valioso que poder saber si el certificado está/estaba vigente.
  • El tercero es que los documentos firmados no solo estén firmados sino que lo parezcan. El desarrollo de visores que interpreten esta información es básico en la gestión documental. ¡Qué sensación de desasosiego produce después de llevar gastados unos cuantos miles de euros en la implantación de la gestión documental y las firmas, que al abrir un PDF firmado lo primero que vemos es una interrogación con un mensaje de “La firma no ha podido ser validada”!
Última actualización el Lunes, 18 de Julio de 2011 16:31