SIC

EL USO DE CERTIFICADOS DIGITALES EN EL ENTORNO EMPRESARIAL ESPAÑOL

La Administración Electrónica hace referencia a la incorporación de las TIC en las relaciones externas de la Administración Pública, habilitando la vía electrónica como un nuevo medio para la relación con el ciudadano y las empresas.
En España, la Agencia Tributaria fue pionera en la puesta en marcha de la e-Administración, pero no fue hasta que se estableció el concepto de firma-e reconocida y su equiparación jurídica con la firma manuscrita (Ley 59/2003, de 19 de diciembre, de firma electrónica), cuando entró de lleno en la actividad empresarial.


	Magdalena Sarto Directora de Dpto. Planificación y Control Seguridad de la Información y Gestión de Riesgos FCC

Debido a estos cambios normativos, las empresas se enfrentan hoy a los desafíos y riesgos asociados con la identidad electrónica y el uso de los certificados digitales. En consecuencia, se hace cada vez más imprescindible la definición e implementación de controles, tanto jurídicos como tecnológicos, para mitigar estos riesgos y aprovechar las oportunidades que este nuevo canal ofrece. • Un certificado digital es un documento digital mediante el cual una autoridad de certificación garantiza la vinculación entre la identidad de un sujeto o entidad y unos datos de verificación de firma (clave pública). (http://es.wikipedia.org/wiki/Certificado_digital). • Si el certificado es de persona jurídica el suscriptor del mismo será una persona jurídica, entendiendo por tal el conjunto de personas agrupadas que constituye una unidad con finalidad propia, la cual adquiere, como entidad, capacidad jurídica y de obrar distinta de la de los miembros que la componen (http://www.cert.fnmt.es/index.php?cha=com&sec=12&page=126). ¿Imposición o elección? Un poco de historia En el año 1999 se empezó a legislar sobre factura telemática (con la publicación de la orden ministerial y la guía de implementación), y específicamente con el Real Decreto-Ley 14/1999 de 17 de septiembre sobre firma digital. Fue entonces cuando las PKI dieron sus primeros pasos y tanto las empresas como la Administración empezaron a evaluar cómo podrían cubrir sus necesidades de autenticación de firma y cifrado. Sin embargo, no fue hasta 2003, con la aparición de la Orden HAC/1736/2003, de 24 de junio, por la que se desarrollaba el régimen especial aplicable a los servicios prestados por vía electrónica, a efectos del Impuesto sobre el Valor Añadido (BOE 28-06-2003), cuando las empresas se vieron obligadas a usar los certificados digitales. A partir de aquí, los usos del certificado electrónico han ido creciendo de forma exponencial. Algunos ejemplos de ello son: • La presentación de facturas electrónicas, de obligado cumplimiento desde el 1 de agosto de 2009 en la contratación con el sector público estatal para las sociedades que no puedan presentar cuenta de pérdidas y ganancias abreviada, y desde el 1 de octubre de 2010 en el resto, regulada por la Ley 56/2007, LISI (artículo 1.1 y 1.4) y la Ley 30/2007. • La digitalización certificada para la conservación de facturas regulada por la Orden EHA/962/2007, de 10 de abril. • La recepción por medios-e de las notificaciones y comunicaciones administrativas que realice la Agencia Tributaria (de obligado cumplimiento desde enero de 2011 para las entidades que tengan la forma jurídica de sociedad anónima) (RD 1363/2010 y Orden Pre/878/2010). • La recepción de notificaciones-e administrativas de carácter vial (BOE-A-2010-5788). • Presentación de subvenciones, ayudas y licitaciones (RD 887/2006, de 21 de julio). • Registro y depósito de convenios colectivos, etc. (RD 713/2010, de 28 de mayo). Como se puede apreciar por los ejemplos anteriores, el uso de certificados digitales para el cumplimiento normativo con la administración se ha convertido en un aspecto crucial para el funcionamiento mercantil de cualquier empresa.
El uso extendido de los certificados en la empresa no está exento de riesgos, siendo los tres principales: el uso del mismo extralimitándose fuera de los poderes otorgados, la suplantación de identidad, y la indisponibilidad del certificado.
¿Quiénes son los propietarios de los certificados? Partiendo de esta situación se han ido cubriendo las necesidades de negocio a medida que estas han ido surgiendo. Inicialmente, y hablo del año 2003, fueron los departamentos de administración los que solicitaron los primeros certificados para el pago de impuestos. En el caso de los grupos empresariales, esta práctica podía traducirse en la solicitud de centenares de certificados. Posteriormente, fue el departamento de subvenciones el que los requirió para su área de negocio. Y así, sucesivamente, se fueron incorporando el resto de áreas. Cabe destacar que aunque la solicitud del certificado viene acompañada de unos poderes jurídicos que delimitan su uso, técnicamente son aceptados como válidos en todas las transacciones que requieren certificado, independientemente de su funcionalidad. De estas premisas surge la primera duda: ¿se pueden usar los mismos certificados o es necesario solicitar unos nuevos? Si evaluamos el ahorro de costes (menor número de poderes y de certificados), la segregación de funciones (empleados de diferentes áreas), la gestión (disponibilidad, almacenamiento, copias) y la seguridad (control de acceso y trazabilidad del uso) ya podríamos asumir los beneficios económicos y organizativos que supondría una solución para la gestión centralizada de los certificados. Una segunda duda es: ¿quién debe tener poderes para solicitar el certificado? ¿el que lo usa, el presidente de la empresa, el director del área? ¿el que usa el certificado es el mismo que lo solicita, es decir, es su propietario? El uso de los certificados es múltiple y en una empresa pequeña no tienen cabida todas estas preguntas porque normalmente es una misma persona la que ejerce todas estas funciones; sin embargo, en los grupos empresariales, el uso de los certificados aplica a funciones que realizan diversas áreas y que pueden ser ejecutadas por empleados distintos. ¿Dónde se usan los certificados? Los certificados se utilizan, básicamente, en aplicativos propios y de terceros, entre ellos los de la administración pública. Por lo tanto, nos estamos enfrentando a un escenario tecnológico no controlado por la propia empresa y totalmente dependiente de programas de terceros, que van variando a lo largo del tiempo. Ejemplos de estos programas los tenemos en la DEU (Dirección Electrónica Única) que emite Correos y sirve para recibir todas las comunicaciones procedentes de las diferentes administraciones, la de la DGT o la de presentación de impuestos. Riesgos El uso extendido de los certificados en la empresa no está exento de riesgos, siendo los tres principales: el uso del mismo extralimitándose fuera de los poderes otorgados, la suplantación de identidad (robo, sustracción…), y la indisponibilidad del certificado, por su pérdida o revocación, porque la persona titular del mismo hubiera rescindido su contrato con la empresa o por jubilación, corrupción del software, etc., provocando el incumplimiento con las obligaciones mercantiles de la empresa. ¿Qué necesitan las empresas? Es necesario avanzar hacia un sistema de seguridad integral y eficiente con dos vertientes: una jurídica y otra tecnológica. En la vertiente jurídica se han de establecer las garantías jurídicas que delimiten las delegaciones al uso y las responsabilidades, mientras que en la vertiente tecnológica se han de garantizar los usos limitados, el control y la auditoría de acceso, el control del acceso delegado y la capacidad de probar el uso. La solución tecnológica debe implementar un control proactivo del uso del certificado, impidiendo el acceso tanto a los empleados como a los sitios no permitidos y un control reactivo ante posibles usos fraudulentos por personal autorizado. Y debe ser lo suficientemente flexible para incorporar los cambios impuestos por los aplicativos de la administración en un tiempo extremadamente corto.
Documento en PDF

<volver