Definición: La firma remota, también conocida como firma de servidor, se refiere al proceso de firmar digitalmente documentos o archivos utilizando un servidor remoto o un proveedor de servicios externo de confianza. Es un mecanismo que elimina la necesidad de presencia física para firmar documentos de forma segura mediante el uso de una firma digital.
Explicación de la firma remota/firma en servidor
Cuando se firma a distancia, la parte firmante utiliza una aplicación basada en web o un servidor remoto para crear una firma digital. El servidor o proveedor de servicios suele mantener la clave privada necesaria para generar la firma digital, mientras que la parte firmante posee la clave pública correspondiente. Esta separación de claves garantiza la seguridad e integridad del proceso de firma.
El concepto de firma remota se desarrolló en respuesta al Reglamento eIDAS nº 910/2014 y permite generar firmas electrónicas cualificadas (QES) y firmas electrónicas avanzadas (AdES) utilizando un dispositivo de creación de firmas electrónicas que cumpla las normas. Un proveedor de servicios de confianza (TSP) que actúa en nombre del firmante (usuario) controla QES y AdES de forma remota. El usuario es el único responsable de mantener la seguridad de su clave de firma, y las operaciones de firma se realizan en un dispositivo seguro de creación de firma: un módulo de seguridad de hardware (HSM) en el extremo del servidor.
Los dispositivoscualificados de creación de firmas o sell os (QSCD) son necesarios en eIDAS para emitir y utilizar certificados y sellos cualificados. Se requiere un módulo de activación de firma (SAM), que es un componente del QSCD en el caso de la firma de servidor. Un SAM debe estar certificado por Common Criteria (CC) sobre la base del perfil de protección (PP) eIDAS EN 419 241-2 "QSCD for Server Signing" para cumplir los requisitos de un QSCD.
Los proveedores de servicios de confianza desempeñan un papel fundamental en el mantenimiento de la confianza en las transacciones digitales de identidades. Para garantizar que el entorno de creación de firmas electrónicas es fiable y se utiliza bajo la autoridad exclusiva del firmante, deben aplicar determinados procedimientos de gestión y seguridad administrativa. El reglamento también exige el uso de dispositivos cualificados de creación de firmas electrónicas (QSCD), que utilizan software y hardware para garantizar que los usuarios conservan el control total sobre sus claves (privadas) de firma.
La firma remota permite a los usuarios una movilidad total, ya que pueden firmar desde cualquier dispositivo conectado a Internet, incluidos teléfonos inteligentes, ordenadores y tabletas. También proporciona un rastro auditable del proceso de firma. Es especialmente útil para la colaboración remota, las transacciones comerciales, los acuerdos legales, la firma de contratos y otros escenarios en los que la autenticidad y la integridad de los documentos son esenciales.