Por Paula Armentia Morillas, Asociada Senior del Área de Governance, Risks & Compliance de ECIX
Cada vez más empresas utilizan el certificado digital de persona jurídica para cumplir con las obligaciones que le vienen exigidas por la administración electrónica (p.e. Dirección Electrónica Habilitada, Sede Electrónica de la Dirección General de Tráfico, presentación de impuestos, presentación de Convenios Colectivos, etc.).
Como todos sabemos, este tipo de certificados se caracteriza por estar directamente vinculados a dos figuras; por un lado, el Titular (que se corresponde con la Entidad Jurídica correspondiente) y por otro, el Solicitante que es la persona física que, como su nombre indica,solicita dicho certificado y tiene el deber de custodia.
No obstante lo anterior, en la práctica suele ser habitual que este tipo de certificados sean también utilizados por otras personas dentro de la Entidad Jurídica (Autorizados al Uso). Tal es así, que incluso la propia Ley 59/2003, de 19 de diciembre, de Firma Electrónica, consciente de ello,contempló dicha posibilidad en su Exposición de Motivos al establecer que“(…) Como resortes de seguridad jurídica, la ley (…) obliga a los solicitantes a responsabilizarse de la custodia de los datos de creación de firma electrónica asociados a dichos certificados, todo ello sin perjuicio de que puedan ser utilizados por otras personas físicas vinculadas a la entidad (…)”.
Por tanto, ante esta realidad (uso multitudinario de un certificado) es importante que la Entidad Jurídica, no sólo sea consciente de los riesgos que puedan derivarse de una mala praxis por el uso de este tipo de certificados, sino que también implante los mecanismos oportunos que permitan minimizar dichos riesgos (queno evitar), ya que todos sabemos que el riesgo cero no existe en la práctica.
Así, la empresa que se encuentre en el escenario descrito deberá, por lo menos, realizar lo siguiente:
Gestión multidisciplinar de los certificados
Una correcta gestión de certificados exige realizar dicha gestión desde un enfoque multidisciplinar sustentado sobre tres pilares fundamentales:
- Pilar Jurídico:
Elaboración de Acuerdos Jurídicos en los que se establezcan claramente por la Entidad, las condiciones de uso del certificado por el Solicitante o Autorizado al Uso, los usos permitidos y los no autorizados, las limitaciones de uso, así como las responsabilidades de las Partes (Solicitante, Entidad y Autorizados al uso).
- Pilar Técnico:
Implantación de una herramienta de gestión de certificados. Existen en el mercado diferentes herramientas que permiten realizar la gestión de certificados en base a autorización de uso de certificados en determinadas URLs.
Prohibición de utilizar los certificados fuera del horario laboral (estableciendo expresamente dicha prohibición en el Acuerdo Jurídico y utilizando esta opción que ofrecen algunas herramientas del mercado).
Descargar directamente el certificado desde la autoridad de certificación y custodiarlo en un HSM o servidor seguro para evitar posibles copias de los mismos que no estén controladas.
Existencia de backup. Es un extremo imprescindible y que no se debe pasar por alto. La práctica habitual en las empresas es dejar hasta el último día, la gestión de determinadas obligaciones tributarias como es el pago de impuestos. Es por ello, que si en el momento de utilizar el certificado, éste no funcionara, se debería de poder utilizar otro certificado backup para evitar las multas por retraso en las obligaciones tributarias.
- Pilar Organizativo:
– Formación y concienciación del Solicitante y Autorizado al Uso.
– Elaboración y divulgación de un completo procedimiento de gestión de certificados. Es importante crear e implantar un correcto ciclo de vida del certificado. Ciclo de vida que recoja todas las etapas de la vida de un certificado, desde la solicitud como la gestión pero importante y principal es establecer un sistema de revocación.
Designar como Solicitantes del certificado persona que posean una cierta jerarquía en la Entidad que cuenten con la confianza de la Entidad y que tiendan a tener cierta estabilidad en el puesto.
– Poseer un inventario actualizado de certificados con identificación de solicitantes, autorizados al uso y finalidades de uso.
– Realizar reportes periódicos a los Solicitantes de los certificados para que conozcan en todo momento quién está utilizando su certificado que, normalmente será un persona que se encuentra bajo su área de influencia, para que identifique aquellas personas que no deberían tener autorizado el uso del certificado.
– Establecer un proceso fluido con Recursos Humanos para que,en el mismo momento de su conocimiento, informen cuando un Solicitante abandona la Entidad, para así poder revocar inmediatamenteel mismo ante la autoridad de certificación correspondiente.
En resumen, para reducir los riesgos asociados a malas prácticas de usuarios de certificados digitales de persona jurídica es recomendable que la Entidad realice una gestión multidisciplinar de los certificados, sustentada sobre tres enfoques (jurídico, técnico y organizativo) en los que:
– Existan acuerdos jurídicosen el que se establezca claramente los usos permitidos, los no autorizados, las limitaciones de uso, así como las responsabilidades de las Partes.
– Se implante una herramienta de gestión de certificados basada en habilitaciones de uso y URLs permitidas.
– Se elabore y divulgue un procedimiento que detalle el ciclo de vida de los certificados haciendo especial hincapié al sistema de revocación de certificados.
Un buen artículo, pero señalaría alguna que otra cosa, tal como que el perímetro de seguridad de un certificado de PJ se puede garantizar o bien con el certificado en formato hardware, custodiado por el titular y solamente utilizado bajo su supervisión, para las gestiones necesarias. o con herramientas que permiten la monitorización del los certificados, usos, revocaciones… y todo supervisado por la empresa.