¿Cumple HelloSign con el Reglamento de la UE 910/2014 (eIDAS)? [cerrado]

3

EDIT

Agregué las respuestas completas que recibí de HelloSign. Quizás estos puedan ayudar a alguien más experto que yo para determinar si realmente proporcionan una firma de AdES. Tenga en cuenta que también hice preguntas sobre certificados privados que, según tengo entendido, no están obligados por una firma de AdES.

P: ¿Cómo puedo identificar al firmante en el documento que firmó?

A: Esto se describe en la parte de nuestros Términos de servicio > Pista de auditoría. En resumen, HelloSign crea un registro de transacciones entre las partes firmantes que ayudan a identificar a los firmantes.

P: ¿Cómo se garantiza el control exclusivo de la clave privada por parte del firmante?

A: HelloSign ofrece una firma electrónica avanzada (AES) Para ser considerado un AES, se deben cumplir los siguientes requisitos: - vinculado únicamente a signatario - capaz de identificar al firmante - creado utilizando datos de creación de firma electrónica que el firmante puede, con un alto nivel de confianza, utilizar bajo su único control

HelloSign cumple con todos los requisitos para ser considerado una Firma Electrónica Avanzada.

P: ¿Cómo se pueden verificar los datos adjuntos con respecto a la modificación después de firmar el documento?

A: un documento una vez firmado no se puede volver a abrir y modificar. Además de garantizar que cualquier alteración de su registro de transacciones sea detectable, procesamos el registro de transacciones con tecnología hash.

P: ¿Cómo se invalida la firma en caso de que el documento se modifique después de que firmé?

A: En el caso de que un documento sea impugnado, HelloSign proporcionará el registro de transacciones que mostrará si se realizaron cambios en el documento después de la firma.

NB: esta pregunta es sobre un problema específico de cumplimiento de los servicios de HelloSign con el Reglamento eIDAS. No tiene nada que ver con otras preguntas sobre DocuSign o HelloSign que he leído en este foro.

Resulta que uso firmas electrónicas de vez en cuando. En mi país, Italia, así como en la mayoría de los países europeos, las firmas electrónicas se utilizan de manera bastante amplia y exitosa. El marco legislativo más reciente que hace posible esta posibilidad se llama el reglamento eIDAS, una ley a nivel europeo sobre la identificación electrónica, la firma y otros servicios de confianza.

eIDAS permite varios tipos de firma, desde la menos segura ("firma electrónica") a la más segura ("firma electrónica avanzada" y "firma electrónica calificada").

Cuando descubrí que HelloSign estaba ofreciendo un servicio avanzado de firmas "compatible con eIDAS", me apresuré a registrarme. Después de una verificación de correo electrónico simple, durante la cual mi identidad no fue validada, creé un archivo PDF y lo firmé. Al parecer, no se había generado ningún certificado digital. De hecho, cuando verifiqué el documento firmado con una herramienta de verificación compatible con eIDAS común proporcionada por la Unión Europea y presentada por una agencia gubernamental italiana ( enlace ) el documento parecía estar vacío de cualquier certificado.

Esto es bastante extraño, ya que HelloSign afirma en su escasa documentación legal que proporcionan una firma avanzada compatible con eIDAS, lo que contradice el hecho de que mi identidad no se verificó y no se usaron certificados digitales.

Intenté obtener más información sobre el cumplimiento de HelloSign por parte de su servicio al cliente, pero después de un intercambio de correo largo e inconcluso, obtuve varias versiones de "nuestra firma es compatible con eIDAS porque cumple con eIDAS". La respuesta final fue algo así como: "Si tiene más dudas con respecto a nuestro producto, le sugerimos que consulte a un abogado local". Pedí repetidamente una referencia técnica pero no obtuve ninguna.

¿Alguien que esté más familiarizado con eIDAS que yo (repito, este es un tema muy específico sobre el cumplimiento de ese reglamento) comparte mi opinión?

    
pregunta dtatti 17.02.2017 - 09:26
fuente

1 respuesta

0

Investigué exactamente esta pregunta hace algún tiempo, y aquí está mi conclusión. No soy abogado, así que tome todo lo que diga con un grano de sal.

Lo que descubrí es que parece que HelloSign tiene mucho cuidado de no declarar realmente que son compatibles con las firmas electrónicas avanzadas de acuerdo con eIDAS.

eIDAS también declara (cita de wikipedia) " no debe negarse a la firma electrónica el efecto legal o la admisibilidad en el tribunal únicamente porque no es una firma electrónica avanzada o calificada " .

Lo que esto significa es que, si escribes tu nombre en Paint en un PDF, el tribunal no puede negar el efecto legal de esa firma debido a eso. Tienen que verificar si es plausible / probable que hayas firmado eso. Lo mismo para las firmas HelloSign. Puede argumentar en el tribunal que la firma es válida y entregar la documentación que proporciona HelloSign. El tribunal decidirá si la firma es válida.

Lo que hola no proporciona es una firma electrónica avanzada o incluso calificada . Esto podría ser un problema en la corte.

Según mi entendimiento, la corte podría creer que la firma es válida, y uno tendría que probar que no lo es. Con una firma HelloSign tendrías que probar que la firma es válida.

eIDAS también establece que firmas electrónicas calificadas tienen el mismo efecto legal que las firmas manuscritas. Eso también obviamente no es válido para las firmas HelloSign.

    
respondido por el Josef 17.02.2017 - 10:38
fuente

Lea otras preguntas en las etiquetas