Licensed for Distribution

This research note is restricted to the personal use of ().

Guía de mercado para la firma electrónica

Publicada el 22 de diciembre de 2020 - ID G00733406 - 38 min read

La adopción de firmas electrónicas se ha acelerado en el contexto del trabajo remoto y la transformación digital, con requisitos de procesos comerciales que impulsan la selección de soluciones. Los líderes de gestión de seguridad y riesgos deben trabajar con los líderes comerciales para abordar las necesidades de seguridad, cumplimiento, legales y comerciales.

Additional Perspectives

Summary Translation: Market Guide for Electronic Signature(14 January 2021)

Resumen

Resultados clave

El drástico aumento global del trabajo remoto ha aumentado la necesidad de firmas electrónicas accesibles a los negocios para una variedad de casos de uso, tanto internos como externos (clientes, socios o proveedores).
Las organizaciones que no habían convertido los procesos de papel en flujos de trabajo digitales antes de la pandemia son las más propensas a recurrir a soluciones de firma electrónica centradas en el flujo de trabajo para cerrar la brecha en sus capacidades de negocio digital para casos de uso basados en políticas. Muchos de estos casos de uso no habrían sido candidatos anteriormente para la firma electrónica, pero sí requieren la captura y el almacenamiento del consentimiento o acuerdo.
Aunque los requisitos comerciales para la firma electrónica suelen estar bien definidos, los requisitos técnicos, regulatorios y legales varían según el país, lo que complica los casos de uso transfronterizos. Más países están exigiendo firmas digitales respaldadas por esquemas de identidad digital de alta seguridad, y la combinación de integraciones multinube y requisitos de residencia de datos aumenta la complejidad de las opciones para implementaciones globales.
Los productos de firma electrónica siguen evolucionando con características nuevas, pero la oferta es cada vez más competitiva para una gran parte del mercado que solo necesita las capacidades básicas.

Recomendaciones

Los líderes de gestión de seguridad y riesgos responsables de la seguridad de las aplicaciones, datos y tecnologías de firma electrónica deben trabajar con los líderes de línea comercial para hacer lo siguiente:

Crear un inventario de casos de uso de firma electrónica en toda la empresa y clasificarlos por proceso comercial, requisitos de autenticación y pruebas de identidad, región o país, requisitos de retención de documentos y riesgo legal.
Identificar los requisitos jurisdiccionales para cada caso de uso y seleccionar productos que puedan integrarse con autoridades de certificación sancionadas por los gobiernos, proveedores de servicios de confianza y/o esquemas de identidad digital, según sea necesario.
Evaluar cada proceso comercial aplicable para determinar la necesidad de capacidades de gestión y flujo de trabajo nativas, así como la integración con aplicaciones COTS (como sistemas CRM y CLM) o aplicaciones personalizadas a través de APIs.
Optimizar el gasto mediante la identificación y exclusión de casos de uso que se puedan atender a través de las eficiencias existentes y, como tales, no requieran firmas electrónicas.
Aumentar la competitividad de precios al priorizar los requisitos de capacidad básica en las negociaciones con posibles proveedores.

Definición de mercado

Las firmas electrónicas son una representación digital del acuerdo de una persona, que pretende ser el equivalente a una firma “húmeda”. Las firmas electrónicas abarcan un conjunto de métodos que se pueden aplicar a un documento digital para capturar la intención de firmar y el consentimiento para firmar electrónicamente. Para ello, recopilan electrónicamente metadatos relacionados con todos los eventos de firma y crean una pista de auditoría que está sellada criptográficamente para garantizar la autenticidad, el no rechazo y la integridad del documento firmado electrónicamente. Esta pista de auditoría también puede contener varias pruebas de apoyo de las personas que firman el documento, como nombres, direcciones de correo electrónico, pruebas de identidad y pasos de autenticación. Los detalles de la evidencia pueden variar con cada producto, pero la pista de auditoría proporciona evidencia para respaldar el valor legal del documento.

Una firma digitalen lo que se refiere a la firma de documentos, es un tipo de firma electrónica que, además de los requisitos de una firma electrónica, también requiere que cada firmante firme el documento con un certificado digital que sea exclusivo para él o ella. Sin embargo, la tecnología puede tener diferentes requisitos en diferentes países.

Descripción del mercado

El mercado de las firmas electrónicas está segregado con base en la capacidad de cumplir con requisitos legales y regulatorios que varían de manera significativa según la geografía y los casos de uso, así como por el apoyo de los procesos comerciales y los requisitos de flujo de trabajo.

Los proveedores ofrecen una variedad de servicios para apoyar el proceso de firma electrónica. Un superconjunto de estas características incluye la creación de flujos de trabajo personalizados, experiencias de firma optimizadas para dispositivos móviles, pruebas y confirmación de la identidad, autenticación y autorización, gestión de certificados, gestión de documentos e integración con varias aplicaciones comerciales, como plataformas ERP, sistemas de Recursos Humanos, gestión de documentos y aplicaciones de gestión del ciclo de vida de contratos a través de APIs y kits de desarrollo de software (software development kits, SDK). Estas integraciones suelen crear un escenario multinube que requiere una gestión cuidadosa del impacto de la residencia de datos en todo el mundo.

Las soluciones centradas en procesos comerciales tienen un nivel variable de sofisticación en lo que respecta a las características e integraciones que complementan las características básicas de firma electrónica. Pueden incluir funciones de flujo de trabajo simples o complejas, compatibilidad con varios niveles de requisitos de autenticación y confirmación de identidad, e integración con aplicaciones comerciales de negocio listas para usar (commercial off-the-shelf, COTS) desde donde se originan los procesos comerciales (como plataformas CLM o de adquisición, herramientas de recursos humanos, CRM, herramientas de generación y gestión de documentos, etc.), así como conectores a plataformas de gestión de documentos. Además, se puede proporcionar la integración con aplicaciones a través de un sistema de registro (system of record, SOR) que permita vincular automáticamente elementos de datos para rellenar ciertos campos en un documento. Además, una vez que se completa el proceso de firma de un documento, es posible reexportar ciertos campos automáticamente a un SOR.

Los requisitos regulatorios y legales pueden crear la necesidad de integraciones con varios proveedores de servicios de confianza (trust service providers, TSP) o TSP calificados (qualiﬁed TSP, QTSP), entidades de certificación (certiﬁcate authorities, CA) y esquemas de identidad digital (ID) para casos de uso dirigidos a lo externo (véase la Nota 2). Hay cientos de actores regionales o nacionales que prestan servicios específicos para un país o región, lo que ha dado como resultado un pequeño número de proveedores verdaderamente globales que pueden actuar como plataforma transfronteriza para el flujo de trabajo de firma electrónica, con docenas o cientos de integraciones a CA, TSP o QTSP locales. También hay un número creciente de proveedores centrados en regiones con un puñado de integraciones relevantes de QTSP, TSP o CA.

Hay una demanda cada vez menor de los dispositivos físicos de firma digital más tradicionales, que históricamente se utilizaban para la firma interna de documentos. Estos productos pueden admitir la gestión de certificados digitales y la firma digital para documentos internos pero generalmente carecen de herramientas de flujo de trabajo orientadas al negocio o integraciones con plataformas y herramientas externas.

Una firma electrónica puede tener la misma validez legal que una firma manuscrita de tinta húmeda en un documento en papel cuando se implementa de conformidad con las leyes o regulaciones aplicables a las partes involucradas.

Aunque los términos específicos utilizados para las categorías de firma electrónica varían según el país o la región, las firmas electrónicas generalmente se clasifican en las tres categorías siguientes (véase la Figura 1):

Firma electrónica básica (basic electronic signature, BES) (hacer clic para firmar): este tipo de firma electrónica a veces se denomina “estándar” o “simple” y no utiliza certificados digitales. Países como Australia, Canadá, Irlanda, Nueva Zelanda, el Reino Unido y los EE. UU. han adoptado ampliamente el clic para firmar porque la construcción legal para las firmas electrónicas en estos países es tecnológicamente neutra (aunque las firmas digitales, que se comentan a continuación, también serían aceptables). El clic para firmar puede ser un enfoque atractivo, debido a su facilidad de implementación, baja complejidad y bajo impacto en la experiencia del usuario. Además, algunos países tienen leyes adicionales que pueden aceptar la firma básica para casos de uso específicos, incluso si existen regulaciones nacionales que indiquen la necesidad de una firma digital.
Firma electrónica avanzada (advanced electronic signature, AES): este tipo de firma utiliza certificados digitales autoadquiridos asignados a cada firmante, lo que proporciona un alto nivel de protección contra la manipulación o alteración después de que se haya firmado el documento.
Firma electrónica calificada (qualified electronic signature, QES): la UE y los países de la región de Asia/Pacífico, Oriente Medio, Europa continental y Sudamérica son más prescriptivos en cuanto a cómo se puede utilizar la tecnología de firma electrónica, y pueden requerir firmas electrónicas calificadas que se basen en firmas digitales calificadas para algunos casos de uso. Esto requiere un proceso basado en estándares para asignar un certificado digital a una persona, basado en una ID digital validada por un esquema de prueba de identidad patrocinado por el gobierno o la industria. Los certificados se proporcionan en una tarjeta de identidad física o bien a través de un QTSP. Cada proceso de ID digital es normalmente único para ese país y algunos países pueden tener varios esquemas en uso. Es importante comprobar que cualquier producto sea compatible con los diferentes esquemas de identificación digital requeridos o preferidos para cada país.

Figura 1: Tipos de firmas electrónicas

Las firmas digitales pueden ofrecer procesos de firma electrónica más sólidos al proporcionar un fuerte no rechazo (véase la Nota 3), ya que la criptografía proporciona una prueba de la integridad y el origen de la firma de cada persona. Sin embargo, esto requiere un funcionamiento más complejo (y un costo más alto) debido a la necesidad de utilizar certificados digitales para cada usuario asignado (véase la Nota 5).

También se están desarrollando nuevas tecnologías de ID de video, donde las identidades de los firmantes pueden evaluarse después de la captura de fotografías del individuo y los documentos de identidad. Esto requiere pasos adicionales para comprobar esta evidencia con las autoridades gubernamentales locales apropiadas en cada país. Cualquier tecnología de firma electrónica puede beneficiarse de un proceso de ID por video, pero es importante determinar cómo el producto establece, captura y registra las pruebas para cada paso de prueba y confirmación de la identidad. La evidencia puede registrarse en un almacén digital y dentro de la pista de auditoría.

Dirección del mercado

Impacto del trabajo remoto

Aunque los beneficios han sido reconocidos durante años, el reciente aumento en el trabajo remoto y el distanciamiento social han acelerado visiblemente el interés en la firma electrónica y su adopción en un conjunto más diverso de industrias, casos de uso y geografías. Esto ha dado como resultado una aceleración en la adopción de tecnologías de firma electrónica por parte de organizaciones que han sido reacias a adoptar esta tecnología en el pasado, o que la han utilizado solo para un conjunto muy pequeño de casos de uso de clientes o socios externos (contratos, acuerdos con clientes, etc.).

Si bien algunos clientes anticipan que una parte de los casos de uso que se están transfiriendo a firmas electrónicas volverán a procesos manuales de papel en algún momento, la mayoría cree que una vez que un proceso comercial se convierte de proceso en papel a flujo de trabajo digital y firma electrónica, esto pasa a ser “la nueva normalidad”, ya que refleja la próxima etapa en la transformación digital y los procesos comerciales. Algunos incluso están buscando oportunidades a largo plazo para eliminar o reducir las impresoras en la oficina y reducir los presupuestos aprobados de papel, tinta y franqueo para los empleados en la oficina y los que trabajan desde el hogar.

Uso externo: aceleración de casos

Los protocolos de distanciamiento social han impulsado la demanda de la firma electrónica para casos de uso de alta seguridad que históricamente se han realizado en persona, como documentación de nuevas contrataciones, acuerdos con clientes y documentos de servicios financieros. Estos pueden ser documentos para clientes, proveedores o socios individuales, pero en todos estos casos, el contrato debe ser firmado por alguien externo a la organización, lo que supone una mayor carga en la evaluación de identidad para protegerse contra el fraude. Las plataformas de firma electrónica empresariales están invirtiendo en características que admiten contraseñas de un solo uso (one-time password, OTP) para destinatarios conocidos y de confianza, así como la integración con proveedores de pruebas de identidad o de ID digital de alta seguridad para casos de uso de alto riesgo.

En algunas regiones, como la UE, los requisitos en torno a la confirmación de identidad para casos de uso de firma electrónica de alto riesgo están regulados y son explícitos (requieren un QES); en otras regiones, se deja librado al iniciador del documento determinar el nivel de verificación de identidad o autenticación de usuario que pueda necesitarse. Sin embargo, para todos los casos de uso, existe una necesidad creciente de utilizar técnicas de ID digital y de video para admitir BES, AES y QES.

Algunos de estos casos de uso (como los contratos con socios y proveedores) pueden haberse completado históricamente de forma pseudodigital, en la que un empleado imprime un acuerdo, lo firma, lo escanea y lo envía por correo electrónico al siguiente firmante o al iniciador del documento. Este proceso provisional crea dos problemas: en primer lugar, no existe un único documento original y, en segundo lugar, con muchos empleados trabajando desde casa, hay una disponibilidad irregular de impresoras y escáneres de calidad en el hogar. Por ambos motivos, ha habido un interés creciente en la digitalización completa de todos estos casos de uso.

Uso interno: aceleración de casos

Gran parte de la nueva demanda de firmas electrónicas proviene de casos de uso de procesos comerciales de firma electrónica interna de baja seguridad. Estos casos de uso a menudo no son documentos legales, pero motivan una parte significativa de la creciente demanda de esta tecnología. Pueden ser casos de uso como certificados diarios de salud, aprobaciones de hojas de asistencia, aprobaciones de viajes y aprobaciones de activos de TI. Muchos de estos casos de uso han requerido históricamente una firma por política, pero podrían manejarse de forma más adecuada con funciones de automatización de flujos de trabajo de los procesos comerciales inherentes a plataformas comerciales digitales, como sistemas de emisión de boletos, flujos de trabajo de plataformas de Recursos Humanos, sistemas de gestión de tiempo y gastos.

En algunos casos, se han implementado plataformas comerciales digitales nuevas que incluyen capacidades de flujo de trabajo para los casos de uso en cuestión, pero la percepción de la necesidad de una firma ha persistido, a pesar del nivel relativamente alto de seguridad proporcionado por la autenticación de un empleado en la plataforma donde realiza la aprobación del flujo de trabajo y las capacidades de auditoría inherentes a las características del flujo de trabajo de esa plataforma.

En otros casos, los procesos comerciales no se han digitalizado e históricamente se han basado en papel en su totalidad. En este escenario, la funcionalidad de flujo de trabajo sin código sólida y altamente personalizable proporcionada por muchos proveedores de firmas electrónicas está llenando las lagunas en los procesos comerciales digitales, a la vez que apoya la obtención del consentimiento por parte de los firmantes.

Aunque muchos sectores gubernamentales e industriales regulados han utilizado internamente una solución de firma digital tradicional para que los empleados firmen digitalmente correos electrónicos y documentos (quizás utilizando los certificados digitales que se les emiten en sus tarjetas inteligentes o mediante tokens), no es aquí donde vemos la mayor parte de la demanda. Las mejoras en la postura de seguridad para la autenticación de usuarios empresariales (incluyendo la amplia adopción de la autenticación multifactor [multifactor authentication, MFA] y el inicio de sesión único [single sign-on, SSO]) han permitido que casos de uso de garantía baja y media se realicen sin la aplicación de una firma digital basada en certificados, si se requiere que el empleado se autentique antes de acceder a la cuenta de correo electrónico, a las aplicaciones de red o a las aplicaciones SaaS donde se le solicita que firme electrónicamente un documento. En lugar de eso, la firma electrónica básica es suficiente para la mayoría de los casos de uso interno, cuando se combina con los protocolos de autenticación del usuario.

En última instancia, para cualquier caso de uso interno, es importante sopesar el valor de crear y pagar cada documento utilizando un producto de firma electrónica frente a otros procesos que no tienen costos adicionales. El valor de añadir una firma representativa a un documento mientras se proporcionan pruebas legales a través de un documento de pista de auditoría es una decisión importante.

Adquisiciones y soluciones integradas

Aunque la pandemia de COVID-19 ha acelerado la reciente adopción de la firma electrónica, la tendencia general hacia los procesos comerciales digitales ya ha estado impulsando la adopción a través de integraciones basadas en API, conectores y complementos con muchas funciones a otras plataformas comerciales y un número creciente de capacidades de firma electrónica nativas de la plataforma.

Soluciones integradas

La mayoría de las plataformas tecnológicas modernas con un componente de flujo de trabajo significativo (por ejemplo, gestión de Recursos Humanos, gestión de capital humano [human capital management, HCM], CRM, gestión del ciclo de vida de los contratos [contract life cycle management, CLM], servicios de contenido, gestión de documentos y otros) han admitido integraciones con proveedores de firma electrónica para permitir la aplicación eficiente de firmas electrónicas para casos de uso y flujos de trabajo que se completan a través de su sistema. Esto garantiza que el usuario final sea capaz de completar todo el flujo de trabajo (por ejemplo, incorporar a un empleado nuevo) en el sistema seleccionado para esos procesos comerciales sin necesidad de ir y venir entre la plataforma de procesos comerciales y una plataforma de firma electrónica.

Todas las soluciones líderes de firma electrónica proporcionan API y SDK para admitir estos tipos de integraciones a nivel de plataforma, y muchas han creado conectores con muchas funciones con plataformas populares como Salesforce, Microsoft 365, Microsoft Dynamics 365, SAP Ariba, Workday, Hyland y muchas otras. La profundidad de la integración y la simplicidad del uso de las firmas electrónicas dentro de la plataforma de procesos comerciales elegida son a menudo factores clave en la selección de proveedores. La mayoría de los proveedores también ofrecen un fuerte soporte para ayudar a los clientes a integrarse a cualquier aplicación que no sea compatible actualmente, o para mejorar o fortalecer cualquier API existente.

También ha habido una creciente necesidad de firmas electrónicas en casos de uso de bajo nivel de complejidad y alto volumen, donde el método tradicional de precios por transacción o por usuario es difícil de justificar. Algunos ejemplos son la creación de solicitudes de permisos de construcción, peticiones firmadas de forma remota e incorporación de contratistas en un mercado de servicios móviles. Aunque los principales proveedores de firmas electrónicas ofrecen firmas electrónicas basadas en API para este escenario, algunos proveedores, como HelloSign (una empresa de Dropbox), tienen un producto y una estrategia de ventas que apuntan al desarrollador primero, lo que incluye modelos de precios para firmas habilitadas por API de alto volumen (así como el modelo por usuario más tradicional).

Adquisiciones y nuevo desarrollo

La necesidad de firmas electrónicas como característica principal del proceso comercial ha impulsado algunas actividades de adquisición y asociaciones estratégicas, así como el desarrollo de la funcionalidad de firma electrónica nativa. Algunas actividades notables incluyen lo siguiente:

DocuSign ha continuado expandiéndose más allá de las firmas electrónicas con su adquisición en 2018 de SpringCM, un producto CLM líder que se puede usar de manera independiente, pero también tiene profundas integraciones con los productos de firma electrónica de DocuSign. En 2020, DocuSign adquirió Seal Software, que complementa a SpringCM mediante la extracción de datos de su producto CLM. En 2020, DocuSign también adquirió Liveoak, que proporciona herramientas virtuales de interacción con el cliente, lo que incluye capacidades de interacción basadas en video y captura de datos. Todas estas adquisiciones respaldan la estrategia más amplia de DocuSign Agreement Cloud.
Dropbox adquirió HelloSign en 2019 para mejorar su oferta de gestión y colaboración de contenido.
Apttus adquirió Conga, incluidos los productos Conga Sign, y ahora se conoce como Conga. Aunque Conga Sign se había centrado previamente en el uso dentro de la plataforma Salesforce, con esta adquisición, el proveedor ampliará el producto para admitir una profunda integración con el antiguo conjunto de soluciones de productividad de Apttus, incluyendo su plataforma CLM.
Entrust adquirió el proveedor de firma electrónica Safelayer Secure Communications, con sede en España, a finales de 2018.
En 2018, OneSpan adquirió el proveedor británico Dealflo, que se centraba en la verificación de identidad digital y los acuerdos financieros.
En 2019, Signicat, un proveedor con sede en Noruega, fue adquirido por un grupo de capital de riesgo, Secure Identity Holding. Luego, en 2020, Signicat adquirió Connectis para continuar con su desarrollo de tecnología de ID digital.
OpenText ha desarrollado un producto de firma electrónica nativo que complementa su soporte para productos de firma electrónica empresariales globales de terceros.

Aunque todavía existe una demanda significativa de plataformas de firma electrónica independientes con portales de usuario con muchas funciones y capacidades de flujo de trabajo personalizado, muchos clientes encuentran que una solución bifurcada puede ser más eficiente y rentable para algunos casos de uso. Es cada vez más común usar capacidades de firma electrónica nativas para casos de uso de baja complejidad y usar un producto de firma electrónica dedicado para casos de uso más complejos.

Cambio de los requisitos regulatorios y legales

Los requisitos regulatorios y legales son otro impulsor clave en mercados geográficos algo separados. Los proveedores, centrados principalmente en EE. UU. y Canadá, ofrecen productos de firma electrónica que respaldan el tipo básico de firma electrónica de clic para firmar debido a los requisitos relativamente vagos de identificación y documentación del consentimiento en las regulaciones nacionales (la Ley de Firmas Electrónicas en el Comercio Global y Nacional [Electronic Signatures in Global and National Commerce, ESIGN] de EE. UU. y la Ley de Protección de la Información Personal y Documentos Electrónicos [Personal Information Protection and Electronic Documents, PIPEDA] de Canadá), pero puede que no tengan apoyo para los requisitos más prescriptivos y estrictos en otras partes del mundo.

El marco de eIDAS (véase la Nota 4) continúa estableciendo el estándar para la dirección global de las regulaciones de firma electrónica, ya que más países están desarrollando sus propios estándares y requisitos tecnológicos similares para firmas digitales de alta seguridad. Muchos países (incluidos India, Brasil, México y Malasia, entre otros) tienen una o más CA aprobadas por el gobierno que deben utilizarse para una firma calificada (el nivel más alto de garantía). Estas CA certificadas, con alguna variación geográfica, se denominan TSP (véase la Nota 5).

Debido a estas dinámicas reguladoras cambiantes, una consideración crítica en la selección de un proveedor de firma electrónica es si puede admitir la integración con TSP certificados en países donde estas estructuras reguladoras están emergiendo.

Análisis del mercado

Aunque la tecnología central de las firmas electrónicas está altamente comoditizada, los requisitos comerciales, legales y regulatorios hacen que la selección de un proveedor o proveedores de firmas electrónicas sea una iniciativa interfuncional importante. La compatibilidad con características de flujo de trabajo, las integraciones con plataformas específicas, la experiencia de usuario del signatario y el remitente, y la integración con TSP en mercados clave pueden impulsar la selección de un proveedor en lugar de otro.

La firma electrónica añade eficiencias como parte de la digitalización de procesos basados en papel, como contratación, procesos de cumplimiento internos, procesos de Recursos Humanos y solicitudes bancarias y de seguros. El retorno sobre la inversión se puede lograr mediante la reducción del tiempo de procesamiento y el ahorro en gastos de franqueo, mensajería y administrativos, así como en los costos de almacenamiento físico y archivado, al aprovechar la firma electrónica como tecnología de habilitación. También hay oportunidades para acortar el tiempo de adquisición de clientes, así como para mejorar la incorporación y finalización de transacciones, lo que se manifiesta en menos clientes que se dirigen a competidores o cancelan transacciones comerciales debido al tiempo de retraso o al esfuerzo necesario para rellenar y devolver formularios en papel.

Comprensión de los requisitos comerciales

El primer paso y el más importante para seleccionar una solución de firma electrónica es enumerar y categorizar los casos de uso. Los casos de uso pueden ser ad hoc e iniciados por seres humanos, o pueden ser transaccionales y basados en aplicaciones.

Los ejemplos de casos de uso generales incluyen:

Negocio a negocio (B2B): contratos de confidencialidad, documentos de adquisición, así como contratos de ventas y servicios.
Negocio a consumidor (B2C): documentos de apertura de cuenta nueva, solicitudes de préstamos, así como condiciones de ventas y servicios.
Negocio a empleado (B2E): contratos de empleo, documentos de prestaciones y otros procesos de incorporación de empleados.
- Esta categoría también puede incluir casos de uso de empleado a empleado, como documentos o comunicaciones interdepartamentales, aprobaciones, memorandos de entendimiento o cualquier otro caso de uso que no sea un documento legal pero para el que el negocio desee un consentimiento formal o contrato y no tenga otros medios para satisfacer el requerimiento. Sin embargo, los beneficios de la facilidad de uso deben, por supuesto, sopesarse con el cargo por cada documento creado.

Con la aportación de las partes interesadas de negocios, legal, cumplimiento, TI y seguridad, desarrolle un inventario de casos de uso, incluyendo los requisitos de cada grupo. La información recopilada puede incluir, entre otras cosas, lo siguiente:

Nombre del caso de uso
Departamento y unidad comercial responsable
Firmantes internos o externos
Categoría del firmante (empleado, cliente, proveedor, socio, etc.)
Requisitos relevantes de privacidad y protección de datos
1. ¿El documento contiene PII, PHI, datos de pago u otros datos regulados o sensibles? ¿El caso de uso y los documentos relacionados están sujetos a requisitos de residencia de datos o soberanía?
¿Impulsado por políticas, por normas legales o por el cumplimiento?
1. En muchos casos de uso interno, los impulsores del requisito de una firma electrónica se basan en las políticas de la empresa y no en la legislación.
2. Algunos sectores tienen requisitos específicos para la firma electrónica, como el Título 21 del Código de Reglamentos Federales (Code of Federal Regulations, CFR), Parte 11, que establece las regulaciones de la Administración de Alimentos y Medicamentos de EE. UU. (Food and Drug Administration, FDA) para la documentación electrónica y las firmas electrónicas (véase la Nota 6).
Si la política es un documento legal, ¿qué país tiene jurisdicción sobre este caso de uso?
1. ¿La ley de ese país admite la firma electrónica simple para este caso de uso, o requiere firmas avanzadas o calificadas?
¿Qué plataformas o aplicaciones participan en este proceso comercial?
¿Cuál es el sistema de registro?
¿Cuáles son los requisitos de retención? (Véase la Nota 7).
¿Cuál es el nivel de riesgo relacionado con la suplantación de identidad?
1. 5. Un documento con implicaciones financieras puede tener un mayor riesgo de fraude de identidad que otros casos de uso y requeriría un mayor nivel de garantía de identidad.
¿Cuál es la importancia de la experiencia del usuario para el remitente y el signatario?
¿Este caso de uso requiere una marca blanca, o sería aceptable para el signatario que la marca del proveedor fuese notoriamente visible?
¿Cuál es el volumen anual de este caso de uso (cuántos documentos o paquetes de documentos deben firmarse)?
¿Cuál es el tiempo dedicado a procesar el flujo de trabajo, los procesos de firma y la digitalización de documentos relacionados con este caso de uso?

Comprensión de los requisitos tecnológicos y de seguridad

Además de los requisitos comerciales específicos centrados en casos de uso, los requisitos de cumplimiento y seguridad pesarán mucho en la selección de una lista de proveedores, como por ejemplo:

Método de implementación
- La mayoría de los proveedores de firmas electrónicas centrados en el flujo de trabajo ofrecen un modelo de entrega SaaS, pero solo unos pocos proveedores (incluyendo AlphaTrust, Ascertia, AssureSign, InfoCert, Namirial, OneSpan, emSigner de eMudhra, MSB Docs y signNow (airSlate) ofrecen también una nube privada o un modelo de implementación en físico .
- Muchas agencias gubernamentales de EE. UU. requieren un proveedor aprobado por FedRAMP. Al momento de redactar este documento, DocuSign, Adobe Sign y OneSpan son los proveedores más comunes seleccionados por los clientes con requisitos de cumplimiento de FedRAMP.
- Las soluciones globales líderes que ofrecen implementación de SaaS tienen múltiples centros de datos globales, pero será importante documentar los requisitos específicos de residencia de datos y confirmar el soporte con un posible proveedor de soluciones.
Funcionalidad de IAM: SSO
- El SSO se incluye generalmente en la versión “empresarial” de los principales productos de firma electrónica, y a veces está disponible como un complemento discreto para versiones menos completas de los productos.
Herramientas de gestión organizativa y administrativa
- No todas las soluciones tienen el tipo de herramientas de gestión organizativa sofisticadas que pueden ser necesarias en una implementación empresarial, por lo que estos requisitos deben estar claramente definidos. Por ejemplo, los flujos de trabajo, plantillas e historial de transacciones para casos de uso de Recursos Humanos no deben ser visibles para los usuarios responsables de los flujos de trabajo de servicio al cliente. La identificación de escenarios organizativos específicos será importante en el proceso de selección de implementaciones en toda la empresa, que hacen un uso intensivo del portal del proveedor en lugar del uso primario a través de integraciones en otras plataformas de flujo de trabajo de procesos comerciales.
Herramientas de soporte, integración, generación de informes y autoservicio
- Los proveedores líderes varían en su enfoque de los servicios de soporte e implementación; algunos incluyen soporte comercial y técnico en el precio básico, mientras que otros cobran considerables cargos de soporte. Además, algunos proveedores pueden cobrar cargos adicionales por API y servicios de autenticación. Al comparar precios entre proveedores, es fundamental comprender los modelos completos de licenciamiento y soporte para garantizar una comparación de manzanas con manzanas.

Clic para firmar, firma digital o ambas cosas
- Los líderes de gestión de seguridad y riesgos deben trabajar con los líderes de la línea de negocios (line-of-business, LOB) y el asesor jurídico para evaluar los requisitos jurisdiccionales de la firma electrónica para cada caso de uso y seleccionar productos que puedan integrar certificados digitales de modo de cumplir con las regulaciones nacionales, según sea necesario (véase la Nota 2).
Habilitación de API
- Las API basadas en transferencia de estado representativo (representational state transfer, REST) o en SOAP son clave para la integración con aplicaciones internas o personalizadas. No todas las API se crean igual. Algunos proveedores ofrecen conjuntos de API sofisticados que admiten muchos métodos y parámetros diferentes con una excelente capacidad de ampliación y mantenimiento de la documentación, mientras que otros son rudimentarios. Por lo tanto, una organización que busque realizar un trabajo de integración debe analizar las API para determinar si son compatibles con sus planes de integración.
Garantía de identidad
- Esto se refiere al nivel de confianza de que las credenciales presentadas por un signatario representan realmente la identidad del mundo real que dicen representar. La garantía de identidad combina y formaliza la evaluación de la solidez de la prueba de identidad y la solidez de la autenticación. No existe un enfoque de “talla única”, porque una gama de opciones aborda los diferentes niveles de garantía requeridos por casos de uso específicos.
- Para los procesos de firma electrónica de clic para firmar, muchos proveedores admiten la integración con proveedores externos para pruebas de identidad y ofrecen de forma nativa una variedad de métodos de autenticación de mayor confianza, incluyendo tokens de contraseña de un solo uso (one-time password, OTP) y autenticación fuera de banda (out-of-band, OOB) para reforzar la autenticación predeterminada basada en contraseña (véase Gestionar los riesgos críticos del uso de firma electrónica).
- Los productos de firma digital que admiten firmas electrónicas calificadas normalmente tienen una garantía de identidad incorporada en el proceso de forma nativa para proporcionar el nivel adecuado de confianza en la autenticidad de la identidad del signatario, según lo prescrito por eIDAS. Esto implica la necesidad de pruebas de identidad cuando los usuarios obtienen inicialmente un certificado y de autenticación cuando lo utilizan posteriormente, es decir, cuando firman digitalmente.
- Con cualquier caso de uso comercial, es importante establecer cómo debe llevarse a cabo la prueba de identidad como proceso para reunir pruebas legales suficientes de la identidad de cada persona designada. El QES solo está disponible en países específicos y, con cada vez más casos de trabajo remoto, será cada vez más difícil conocer a los destinatarios. Por lo tanto, revise si es necesario algún proceso de identificación digital, si el proveedor lo tiene disponible y si registra pruebas suficientes para respaldar los requisitos legales para cada caso de uso.

Flujo de trabajo y seguimiento
- La funcionalidad en esta área puede variar ampliamente en función de los productos. Los líderes de seguridad de TI y LOB deben comparar la funcionalidad que se enumera a continuación con sus requisitos. La capacidad de realizar un seguimiento del progreso de varios documentos desde una única consola de administración es importante para proporcionar predecibilidad operativa, especialmente cuando hay varios signatarios implicados. Las organizaciones también deben revisar cómo se generan los documentos. El precio del proveedor puede depender del número de usuarios, transacciones o métodos de firma. Es importante comprender estos límites, ya que pueden tener un impacto importante en el costo.
  - Creación de plantillas de documentos: el flujo de trabajo interno de creación de documentos debe abordar el número de personas que participarán en la creación de documentos y qué aplicaciones utilizarán. La creación ad hoc puede requerir un apoyo frecuente de TI y, si hay muchos empleados participantes, la organización de TI podría verse sobrecargada. También se debe considerar la amplitud de las capacidades del flujo de trabajo, como la notificación al signatario y la firma multipersona ordenada en serie o en paralelo.
  - Creación y modificación de plantillas: la simple creación y modificación de plantillas de productos integrados (como Salesforce, SAP y Microsoft SharePoint) puede ser importante. Muchos proveedores ofrecen API y la capacidad de integrarse con aplicaciones exclusivas. Las organizaciones deben comprobar si hay requisitos para las modificaciones de estas aplicaciones y si el proveedor admite estos cambios. Desarrollar siempre integraciones con el producto de firma electrónica, y no al revés, para mantener la flexibilidad con respecto al cambio de proveedores en el futuro.
  - Control centralizado: la consola de administración puede supervisar y realizar un seguimiento del estado de varios documentos con respecto a cada signatario.
Gestión de certificados
- Las firmas digitales se pueden utilizar de forma eficaz. Sin embargo, requieren una autoridad de certificación de terceros o de gestión interna que a menudo requiere una gestión holística (CA; véase Percepción tecnológica para la gestión del Certificado X.509). Para casos de uso que impliquen a la UE u otros países con prescriptividad tecnológica, los líderes de seguridad y LOB deben confirmar que un proveedor puede abordar los requisitos de firma digital para cada país, incluyendo la integración con CA reconocidas a nivel nacional, y apoyar firmas electrónicas avanzadas o calificadas. Estos requisitos también podrían incluir el uso de productos de firma avanzados o calificados.
Preservación de la pista de auditoría
- Todos los documentos firmados electrónicamente deben tener una pista de auditoría que capture los metadatos esenciales y el flujo de trabajo asociado con la ceremonia de firma, para proporcionar pruebas legalmente vinculantes e integridad de los documentos. Esto puede incluir atributos de autenticación, fecha, hora, consentimiento (“Acepto”) y ubicación geográfica, así como pruebas de dónde añadió la firma electrónica al documento cada persona firmante. Esto también podría incluir una envoltura criptográfica, a medida que se añada cada firma electrónica, que selle el documento para mantener su integridad.
- Cada producto de proveedor de clic para firmar es exclusivo en su provisión de la pista de auditoría y puede requerir diferentes niveles de soporte del proveedor o expertos técnicos independientes si se produce un desafío legal. Los líderes de gestión de seguridad y riesgos deben trabajar con los líderes de LOB para considerar formas de preservar los archivos derivados y la pista de auditoría del proceso de firma electrónica del proveedor, como archivar en formato PDF/A, para mitigar el riesgo de cambiar de un proveedor a otro. En la UE, deben cumplirse requisitos específicos para garantizar la conservación de los datos a largo plazo (véase la Nota 7).
- Es posible que los datos recopilados y almacenados en la pista de auditoría de un posible proveedor tengan que revisarse para ver si cumplen con las políticas y regulaciones de privacidad de datos (véase El estado de la privacidad y la protección de datos personales, 2020-2022).

Criptoagilidad
- La dependencia de los certificados digitales aumenta la necesidad de contar con un plan de criptoagilidad a largo plazo con respecto a los requisitos de retención a largo plazo, así como los posibles cambios en la seguridad de los métodos y algoritmos criptográficos específicos (vea Más vale prevenir que lamentar: preparación para la criptoagilidad). Por lo tanto, es importante ser consciente de que si los gobiernos deciden cambiar los algoritmos criptográficos utilizados para los certificados en el futuro, esto podría cambiar el estado de cualquier documento firmado, las tecnologías de ID digital y cualquier evidencia o documento almacenado en un almacén digital.
Características y funcionalidades adicionales
- Cuando corresponda, considere si el producto puede ampliarse para incluir soporte multilingüe, formación, integración con hardware de captura de firmas (como productos de ePadLink o Topaz Systems) y soporte 24/7.

Modelos de licenciamiento

Algunos de los principales proveedores ofrecen múltiples versiones de sus productos. La mayoría de los clientes de Gartner que buscan una solución para toda la empresa que sirva para múltiples casos de uso, plataformas y departamentos descubren que las versiones del producto más adecuadas para ellos son las versiones empresariales. Esto se debe en gran medida a las capacidades de seguridad y conformidad incluidas en estas versiones del producto, como SSO y administración organizativa, así como a los conectores disponibles para productos SaaS comunes, como Microsoft 365, Workday y Salesforce. En una RFP, estos productos de nivel empresarial marcarán casi todas las mismas casillas en términos de funcionalidad, incluyendo soporte para SSO, firma delegada, gestión organizativa, flujo de trabajo complejo, integraciones con otras aplicaciones, soporte para autenticación y verificación de identidad de los signatarios. Es importante reconocer que las capacidades básicas para firmar un documento con clic para firmar han alcanzado el estado de commodity en su mayor parte. Las diferencias provienen de las características de la experiencia del usuario más matizadas (para los remitentes y los signatarios), algunas integraciones de terceros y funcionalidades específicas del sector. Sin embargo, estas características suelen conllevar costos adicionales. Por lo tanto, es importante sopesar el costo único de crear una funcionalidad de API adicional frente a los costos de licencia por documento o por usuario más altos.

Los productos de firma electrónica generalmente son licenciados ya sea por usuario o bien por “transacción”. Las licencias por usuario suelen tener un límite de transacción (por ejemplo, 100 transacciones al año), lo que da como resultado una sobrecompra en algunos casos y una gestión de licencias excesivamente compleja en otros. Por este motivo, por lo general recomendamos licencias basadas en transacciones para garantizar la máxima transparencia para empresas medianas y grandes. Las organizaciones más pequeñas, en las que un pequeño número de empleados realizará un número limitado de transacciones al año, pueden descubrir que el modelo de licencia basado en el usuario es una mejor opción.

El precio por transacción puede variar significativamente entre proveedores, lo que puede crear algunos desafíos de justificación de costos en todos los casos de uso.

Es cada vez más común que los casos de uso comercial se dividan en dos categorías generales: baja complejidad/riesgo, con menos sensibilidad a la experiencia del usuario, y alta complejidad/riesgo, con mayor sensibilidad a la experiencia del usuario. Esta división a menudo se alinea con casos de uso internos (baja complejidad/riesgo) y casos de uso externos (mayor complejidad/riesgo). Cuando existe una división y los volúmenes esperados son significativos, puede haber una justificación para seleccionar una solución más sofisticada y cara para los casos de uso de alta complejidad, y seleccionar una solución más rentable para los casos de uso de menor complejidad. En una organización global, la división puede ser geográfica. Una solución específica para cada país puede ser la mejor opción para un segmento del negocio.

Al dar soporte a más de una solución de firma electrónica en toda la empresa, se reduce teóricamente el descuento por volumen que sería posible con un enfoque de solución única; sin embargo, en muchos casos, la diferencia de costos entre la solución compleja y la solución simple compensa con creces la pérdida teórica de descuento. Evaluar los requisitos para cada caso de uso, incluyendo las integraciones de plataforma necesarias, para determinar si algunos casos de uso justifican una solución a medida.

Por último, debe prestarse atención a los casos de uso de mayor prioridad y a cualquier característica o experiencia diferenciadora que respalde los objetivos comerciales. Por ejemplo, DocuSign ha desarrollado algunas funcionalidades extremadamente diferenciadas para casos de uso de otorgamiento de préstamos, que permiten un proceso de solicitud de préstamo más fluido para servicios financieros, lo que puede tener beneficios más allá del valor de una firma electrónica. Algunos de los principales proveedores mundiales también ofrecen productos complementarios para apoyar el cumplimiento del Título 21 del CFR, Parte 11 de la FDA. Busque un proveedor con una huella significativa en su sector específico para aumentar la probabilidad de que tenga o priorice los requisitos específicos de sus casos de uso y obligaciones de cumplimiento.

Proveedores representativos

Introducción al mercado

Categorías de proveedores

Hay cientos de proveedores de firmas electrónicas y digitales en todo el mundo. Los proveedores más comúnmente comentados en las consultas de clientes de Gartner se dividen en cuatro categorías básicas. Hay un amplio grado de variación entre los proveedores dentro de cada categoría, y muchos tienen productos específicos que pueden pertenecer a más de una categoría.

Los proveedores representativos enumerados se asignan a la categoría que mejor describe el conjunto de características generales que más a menudo utilizan los clientes de Gartner:

Plataforma empresarial de firma digital y electrónica de servicio completo
Plataforma de firma electrónica independiente, centrada en el flujo de trabajo, con clic para firmar
Proveedor de firma digital empresarial

A medida que aumenta la demanda de firmas electrónicas, los proveedores están ampliando activamente sus capacidades para satisfacer las necesidades cambiantes de los clientes. Esto es particularmente cierto en el grupo de proveedores de firma digital que históricamente han proporcionado dispositivos de firma y gestión de certificados para casos de uso de firma digital B2B e interna de alta seguridad. Estos proveedores no se han centrado previamente en posibilitar un flujo de trabajo comercial de autoservicio que implique diferentes tipos de firmas electrónicas. Sin embargo, con el panorama regulatorio cambiante y la mayor influencia de compra de los propietarios de procesos comerciales front-end, muchos de estos proveedores están ampliando sus capacidades front-end para el soporte de flujos de trabajo o la integración a plataformas de gestión de documentos y procesos comerciales COTS, o están ampliando sus integraciones y servicios en torno a la garantía de identidad para permitir la emisión de QESs (véase la Figura 2):

Plataforma de firma electrónica y digital de servicio completo
- Los proveedores de esta categoría pueden admitir firmas electrónicas básicas (clic para firmar), así como firmas digitales avanzadas y calificadas para signatarios internos y externos.
- La versión empresarial de estos productos admite un flujo de trabajo personalizado, complejo y sin código dentro de su propio portal habilitado para autenticación federada o SSO, que es adecuado para que acceda y lo utilice un usuario comercial no técnico con el fin de crear flujos de trabajo, plantillas y gestionar el proceso de firma electrónica.
- Estas soluciones ofrecen conectores listos para usar con muchas funciones a varias plataformas de terceros, como sistemas de gestión de documentos, sistemas HCM, CRM, CLM y otras plataformas comerciales que pueden o no estar incluidas en el precio básico de la empresa.
- Las API y herramientas de integración sólidas admiten una integración única o personalizada con software propio y de terceros (en físico, alojado en la nube y SaaS) para respaldar la productividad, los procesos comerciales, el almacenamiento de documentos, etc.
- Integración con herramientas globales de verificación de identidad de terceros, como proveedores de verificación basados en conocimientos y herramientas de verificación de identidad remota basadas en documentos (véase la Guía del mercado para la verificación y la confirmación de identidad).
- Compatible con múltiples CA, TSP y QTSP para admitir los requisitos de firmas digitales avanzadas y calificadas en muchos países.
- Los proveedores globales admiten más de dos regiones, incluyendo la integración con TSP y CA locales, así como centros de datos globales, con soporte para requisitos de residencia de datos o la capacidad de admitir la implementación en la nube privada o en físico.

Plataforma de firma electrónica independiente, centrada en el flujo de trabajo, con clic para firmar
- La funcionalidad principal que ofrecen estos proveedores es la firma electrónica básica de clic para firmar, con funcionalidad de flujo de trabajo sin código diseñada para usuarios de procesos comerciales (en lugar de TI).
- A veces, estos proveedores admiten capacidades de autenticación del signatario de baja seguridad, como contraseñas de un solo uso, pero rara vez ofrecen pruebas de identidad y no admiten múltiples integraciones con TSP o CA certificados. Los proveedores de esta categoría generalmente no pueden proporcionar QES.
- Las soluciones de esta categoría se centran a menudo en mercados en los que una firma básica con clic para firmar tiene la equivalencia legal a una firma húmeda.
- Estas herramientas pueden tener algunas integraciones básicas de terceros para sistemas de gestión de documentos o herramientas de productividad; sin embargo, con mayor frecuencia, se utilizan como herramienta independiente o a través de integraciones de API personalizadas.
Proveedor de firma digital
- Los proveedores de esta categoría proporcionan soluciones tradicionales de firma digital implementadas desde hace mucho tiempo para casos de uso internos o B2B de alta seguridad.
- Aunque hay cientos de CA y TSP en todo el mundo, los proveedores de esta categoría admiten la firma digital automatizada con un servicio de firma, servidor o dispositivo, y no solo la emisión de certificados.
- Muchas de estas soluciones llevan décadas apoyando las firmas internas tradicionales y las firmas digitales B2B, e históricamente se han entregado en físico funcionando como un servicio de TI back-end en lugar de una solución orientada al negocio.
- El uso de certificados digitales de TSP puede admitir una variedad de funciones de seguridad además del clic para firmar, incluyendo integridad criptográfica, marca de tiempo, sellos electrónicos y vinculación a servicios de certificados internos unidos a Active Directory. Sin embargo, no proporcionan pruebas de identidad adicionales de terceros sin el uso de tecnología de identificación digital adicional. Algunos de estos proveedores tienen integraciones con herramientas de confirmación de identidad, pero generalmente se centran en la integración con Active Directory.

Figura 2: Categorías y capacidades de los proveedores de firma electrónica

La Tabla 1 proporciona una lista de proveedores (véase la Nota 1).

Se han seleccionado los siguientes proveedores representativos en función del interés del cliente, independientemente de los ingresos o la participación de mercado. Los proveedores de todas las categorías continúan invirtiendo en sus productos a través de características ampliadas, integraciones, etc. Por lo tanto, la asignación de un proveedor a una categoría solo es direccional, se basa en evaluaciones del producto cualitativas, más que cuantitativas, y puede haber cambiado en el momento en que usted lea esta investigación. Para una evaluación exhaustiva de las características ofrecidas por un proveedor en particular, se recomienda ponerse en contacto con ese proveedor.

Tabla 1: Proveedores representativos de firma electrónica

Proveedor	Categoría principal
Adobe	Firmas electrónicas y digitales empresariales globales y de servicio completo
Ascertia	Firma digital de empresa
AssureSign	Firma electrónica centrada en el flujo de trabajo
DocuSign	Firmas electrónicas y digitales empresariales globales y de servicio completo
Entrust	Firma digital de empresa
emSigner de eMudhra	Firmas electrónicas y digitales empresariales globales y de servicio completo
HelloSign, una empresa de Dropbox	Firma electrónica centrada en el flujo de trabajo
InfoCert	Plataforma de firmas electrónicas y digitales empresariales regional y de servicio completo
Intesi Group	Plataforma de firmas electrónicas y digitales empresariales regional y de servicio completo
Kofax	Firma digital de empresa
LuxTrust	Plataforma de firmas electrónicas y digitales empresariales regional y de servicio completo
MSB Docs	Firmas electrónicas y digitales empresariales globales y de servicio completo
Namirial	Firmas electrónicas y digitales empresariales globales y de servicio completo
Notarius	Firma digital de empresa
OneSpan	Firmas electrónicas y digitales empresariales globales y de servicio completo
PandaDoc	Firma electrónica centrada en el flujo de trabajo
Signicat	Plataforma de firmas electrónicas y digitales empresariales regional y de servicio completo
signNow (airSlate)	Firma electrónica centrada en el flujo de trabajo

Fuente: Gartner (diciembre de 2020)

Los proveedores enumerados en esta Guía del mercado no implican una lista exhaustiva. Esta sección pretende proporcionar una mayor comprensión del mercado y sus ofertas.

Recomendaciones de mercado

Trabaje con un equipo verdaderamente multifuncional para evaluar los requisitos de toda la empresa para firmas electrónicas y digitales, centrándose primero en los procesos comerciales de alta prioridad, con aportaciones de los equipos de cumplimiento, fraude, seguridad y legal, así como de los propietarios de procesos comerciales de primera línea.
No tenga miedo de adoptar un enfoque multiproveedor para las firmas electrónicas si cumple con los requisitos legales, de seguridad y de cumplimiento; céntrese en crear un marco de gobernanza mediante el cual se puedan evaluar nuevos casos de uso como candidatos para firmas electrónicas, de modo de garantizar que se cumplan los requisitos legales, de riesgo y de cumplimiento para cada caso de uso a medida que el uso se expanda por toda la empresa.
Considere si la inversión en herramientas de flujo de trabajo digital podría servir mejor a algunos casos de uso interno que pueden no requerir realmente una firma electrónica legal (véase la Guía de evaluación de tecnologías de desarrollo de código inferior).

Nota 1: Selección de proveedores representativos

Esta guía del mercado proporciona la cobertura del mercado de Gartner y destaca la definición del mercado, la justificación del mercado y la dinámica del mercado. Gartner tiene conocimiento de más de 40 proveedores que ofrecen varias formas de firmas electrónicas que se alinean con varios o todos los posibles casos de uso.

Los proveedores nombrados en esta guía del mercado fueron seleccionados para representar varios de los orígenes de mercado de proveedores fácilmente reconocidos descritos en la sección Introducción al mercado. Los lectores deben utilizar la Tabla 1 como guía general para estudiar a los proveedores y deben considerar a todos los proveedores candidatos aplicables que les interesen, independientemente de si aparecen o no en esta investigación.

Nota 2: Aspectos legales y descargo de responsabilidad

Algunos proveedores ofrecen orientación útil como punto de partida para la condición legal de las firmas electrónicas y la preferencia por tecnologías particulares dentro de diferentes países. Por ejemplo:

Adobe’s Legalidad de la firma electrónica
DocuSign’s Guía sobre la legalidad de la firma electrónica
eMudhra’s Guía global sobre cumplimiento de las firmas electrónicas
OneSpan’s Legalidad de la firma electrónica

Exención de responsabilidad: Gartner no practica el derecho, y las opiniones y recomendaciones de este documento no deben interpretarse como asesoramiento legal. Gartner recomienda que las entidades sujetas a legislación busquen asesoramiento legal de fuentes calificadas antes de implementar políticas o productos relacionados con actividades reguladas.

Nota 3: Sin rechazo

Aunque la firma digital es ampliamente aceptada como una prueba sólida y sustancial de no rechazo, generalmente no se considera absoluta, tal como la define la Asociación Estadounidense de Abogados en sus Directrices para la firma digital.

Nota 4: eIDAS

El Reglamento de la UE N.º 910/2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno (el reglamento eIDAS) fue adoptado por el Consejo de la UE el 23 de julio de 2014. Entró en vigor el 1.º de julio de 2016.

Nota 5: El papel de las CA en el mercado de firmas electrónicas

Una CA es una entidad interna o de terceros que crea, firma y revoca certificados digitales que vincula claves públicas y privadas a identidades de usuario. Un repositorio o directorio almacena certificados digitales y listas de revocación de certificados (CRL) para permitir a los usuarios obtener las claves públicas de otros usuarios y determinar el estado de revocación.

En el contexto de las regulaciones que rigen el uso de firmas digitales (como en la UE o Suiza), una entidad de certificación de terceros que cumpla ciertos requisitos puede designarse como TSP o QTSP. También se puede denominar proveedor de servicios de certificación. La designación de QTSP confiere la responsabilidad de proporcionar una garantía de identidad de los signatarios utilizando mecanismos sólidos para la prueba y la autenticación de la identidad. Los TSP facilitan un marco de confianza para las transacciones electrónicas que se llevan a cabo entre países y organizaciones. Las regulaciones específicas (como el eIDAS en la UE) rigen cómo se establecen los TSP y proporcionan sus servicios de autenticación y no rechazo.

En la UE, un TSP (o QTSP) calificado desempeña un papel fundamental en un proceso de firma electrónica calificado. Una firma electrónica calificada es importante en la UE, porque es el único tipo de firma electrónica que es legalmente equivalente a una firma con tinta húmeda, y cuenta con un reconocimiento mutuo de su validez por parte de todos los estados miembros de la UE. Este reconocimiento mutuo es fundamental para la creación de un mercado único en la UE para la firma electrónica.

Un organismo gubernamental supervisor puede otorgarle a un TSP la condición de calificado, lo que le da permiso para proporcionar servicios de confianza calificados utilizados para crear los QES. En virtud de eIDAS, la UE mantiene las Listas de confianza de la UE, que son la publicación central y definitiva de los TSP que han obtenido la condición de calificados. Solo los TSP de esta lista pueden proporcionar servicios de confianza calificados, y deben adherirse a las directrices estrictas establecidas por eIDAS para mantener su condición de calificados:

QTSP:
- Los QTSP han obtenido certificados de calificación en virtud del eIDAS u otros esquemas nacionales para firmas digitales, sellos y/o sellos de tiempo para firmas digitales calificadas.
- Estos proveedores tienen integraciones a uno o más esquemas de ID digital o herramientas de prueba de identidad certificadas por eIDAS.
- Los proveedores de firmas globales, electrónicas y digitales para empresas generalmente se integrarán con los QTSP para habilitar firmas calificadas para casos de uso cuando sean necesarios, y algunos están certificados como QTSP (por ejemplo, DocuSign e InfoCert).

Nota 6: Título 21 del CFR, Parte 11

La Parte 11 del Título 21 del CFR define cómo la FDA considera fiables los registros electrónicos y las firmas. Si este caso de uso está presente, el proveedor de firma electrónica debe ser capaz de cumplir los requisitos técnicos para lograr el cumplimiento del Título 21 del CFR, Parte 11 a través de las características nativas del producto. Adobe Sign, DocuSign, MSB Docs, signNow (airSlate) y otros tienen disponibles módulos de firma electrónica diseñados específicamente para cumplir con esta regulación.

Nota 7: Conservación de datos a largo plazo

El concepto de conservación de datos a largo plazo, también conocido como validación de datos a largo plazo (long-term data validation, LTV), se basa en el hecho de que los documentos firmados digitalmente pueden utilizarse o archivarse durante muchos años. Por lo tanto, debe ser posible confirmar de forma fiable y consistente en cualquier momento en el futuro que una firma electrónica era válida en el momento en que se aplicó, a pesar de los avances posteriores en la tecnología subyacente o los algoritmos criptográficos.

Se ha creado un conjunto de normas para abordar estas necesidades y cumplir con eIDAS. Son mantenidas por el Instituto Europeo de Normas de Telecomunicaciones (European Telecommunications Standards Institute, ETSI; véase el documento Firma digital del ETSI para encontrar los documentos de especificación más actuales) y comprenden:

Firmas electrónicas avanzadas en XML (XAdES)
Firmas electrónicas avanzadas en PDF (PAdES)
Firmas electrónicas avanzadas con sintaxis de mensajes criptográficos (CAdES)

© 2021 Gartner, Inc. o sus empresas afiliadas. Todos los derechos reservados. Gartner es una marca registrada de Gartner, Inc. o sus empresas afiliadas. Esta publicación no se puede reproducir ni distribuir por cualquier medio sin el permiso previo por escrito de Gartner. La información contenida en esta publicación se ha obtenido de fuentes que se consideran confiables. Gartner no garantiza en absoluto la precisión, la integridad ni la adecuación de dicha información y no se responsabiliza de ningún error, omisión ni deficiencia que en ella aparezcan. Esta publicación consta de las opiniones de la organización de investigación de Gartner y no se debe interpretar como una declaración de hechos. Las opiniones expresadas en el presente documento están sujetas a modificaciones sin previo aviso. Aunque la investigación de Gartner puede incluir un análisis de aspectos legales relacionados, Gartner no proporciona servicios ni asesoramiento legal y su investigación no se debe interpretar ni utilizar en este sentido. Gartner es una empresa pública, y sus accionistas pueden incluir empresas y fondos que tienen intereses financieros en entidades consideradas en la investigación de Gartner. La Junta directiva de Gartner puede incluir gerentes senior de estas empresas o fondos. La investigación de Gartner es llevada a cabo de forma independiente por su organización de investigación, sin aportes ni influencia de estas empresas, fondos ni sus gerentes. Para obtener más información acerca de la independencia e integridad de la investigación de Gartner, consulte “Guiding Principles on Independence and Objectivity” (Principios fundamentales sobre la independencia y objetividad), en su sitio web, http://www.gartner.com/technology/about/ombudsman/omb_guide2.jsp.

La investigación de Gartner que se aborda en este documento se tradujo del texto original en inglés al idioma del texto anterior o de este mismo. Gartner ha hecho todo lo razonable para garantizar que la traducción tenga el mayor grado de exactitud e integridad posible. Sin embargo, al igual que con todas las traducciones, puede haber inevitablemente algún grado de discrepancia. En caso de que esto ocurra, ya sea en cuanto al contenido o a la intención, siempre predominará el significado del original en inglés.

Guía de mercado para la firma electrónica

Additional Perspectives