EDIT
Agregué las respuestas completas que recibí de HelloSign. Quizás estos puedan ayudar a alguien más experto que yo para determinar si realmente proporcionan una firma de AdES. Tenga en cuenta que también hice preguntas sobre certificados privados que, según tengo entendido, no están obligados por una firma de AdES.
P: ¿Cómo puedo identificar al firmante en el documento que firmó?
A: Esto se describe en la parte de nuestros Términos de servicio > Pista de auditoría. En resumen, HelloSign crea un registro de transacciones entre las partes firmantes que ayudan a identificar a los firmantes.
P: ¿Cómo se garantiza el control exclusivo de la clave privada por parte del firmante?
A: HelloSign ofrece una firma electrónica avanzada (AES) Para ser considerado un AES, se deben cumplir los siguientes requisitos: - vinculado únicamente a signatario - capaz de identificar al firmante - creado utilizando datos de creación de firma electrónica que el firmante puede, con un alto nivel de confianza, utilizar bajo su único control
HelloSign cumple con todos los requisitos para ser considerado una Firma Electrónica Avanzada.
P: ¿Cómo se pueden verificar los datos adjuntos con respecto a la modificación después de firmar el documento?
A: un documento una vez firmado no se puede volver a abrir y modificar. Además de garantizar que cualquier alteración de su registro de transacciones sea detectable, procesamos el registro de transacciones con tecnología hash.
P: ¿Cómo se invalida la firma en caso de que el documento se modifique después de que firmé?
A: En el caso de que un documento sea impugnado, HelloSign proporcionará el registro de transacciones que mostrará si se realizaron cambios en el documento después de la firma.
NB: esta pregunta es sobre un problema específico de cumplimiento de los servicios de HelloSign con el Reglamento eIDAS. No tiene nada que ver con otras preguntas sobre DocuSign o HelloSign que he leído en este foro.
Resulta que uso firmas electrónicas de vez en cuando. En mi país, Italia, así como en la mayoría de los países europeos, las firmas electrónicas se utilizan de manera bastante amplia y exitosa. El marco legislativo más reciente que hace posible esta posibilidad se llama el reglamento eIDAS, una ley a nivel europeo sobre la identificación electrónica, la firma y otros servicios de confianza.
eIDAS permite varios tipos de firma, desde la menos segura ("firma electrónica") a la más segura ("firma electrónica avanzada" y "firma electrónica calificada").
Cuando descubrí que HelloSign estaba ofreciendo un servicio avanzado de firmas "compatible con eIDAS", me apresuré a registrarme. Después de una verificación de correo electrónico simple, durante la cual mi identidad no fue validada, creé un archivo PDF y lo firmé. Al parecer, no se había generado ningún certificado digital. De hecho, cuando verifiqué el documento firmado con una herramienta de verificación compatible con eIDAS común proporcionada por la Unión Europea y presentada por una agencia gubernamental italiana ( enlace ) el documento parecía estar vacío de cualquier certificado.
Esto es bastante extraño, ya que HelloSign afirma en su escasa documentación legal que proporcionan una firma avanzada compatible con eIDAS, lo que contradice el hecho de que mi identidad no se verificó y no se usaron certificados digitales.
Intenté obtener más información sobre el cumplimiento de HelloSign por parte de su servicio al cliente, pero después de un intercambio de correo largo e inconcluso, obtuve varias versiones de "nuestra firma es compatible con eIDAS porque cumple con eIDAS". La respuesta final fue algo así como: "Si tiene más dudas con respecto a nuestro producto, le sugerimos que consulte a un abogado local". Pedí repetidamente una referencia técnica pero no obtuve ninguna.
¿Alguien que esté más familiarizado con eIDAS que yo (repito, este es un tema muy específico sobre el cumplimiento de ese reglamento) comparte mi opinión?