¿Puedo crear mi propio certificado de firma digital?

En el mundo actual, donde lo digital es prioritario, las firmas digitales son más que una herramienta conveniente: se han convertido en una forma legalmente vinculante de firmar documentos electrónicos en todo el mundo. Esto también plantea una pregunta común: ¿Puedo crear mi propio certificado de firma digital? La respuesta corta es: técnicamente sí, pero legalmente no necesariamente, dependiendo de tu jurisdicción y uso. Este artículo explorará en detalle los aspectos prácticos, técnicos y legales de la creación de certificados de firma digital, especialmente para usuarios en Hong Kong y el sudeste asiático.

¿Qué es un certificado de firma digital?

Un certificado de firma digital (DSC) es un archivo electrónico que se utiliza para demostrar la autenticidad de tu firma electrónica. Es emitido por una entidad externa de confianza, una autoridad de certificación (CA), que verifica tu identidad antes de emitir el certificado, vinculando así tu firma digital a tu identidad. Es como un pasaporte o una licencia de conducir en el mundo en línea, utilizado para verificar la identidad.

Hay dos tipos comunes de firmas electrónicas:

1. Firmas electrónicas (e-signatures): Generalmente fáciles de usar, pueden ser prácticas informales como ingresar tu nombre o pegar una imagen de tu firma.
2. Firmas digitales (digital signatures): Son un tipo de firma electrónica, pero utilizan protocolos de seguridad más estrictos (como la infraestructura de clave pública PKI) y, por lo general, requieren el soporte de un certificado de firma digital legal.

Desde un punto de vista técnico, ¿puedes crear tu propio certificado?

Desde un punto de vista técnico, la respuesta es sí. Siempre que tengas las herramientas de cifrado adecuadas (como OpenSSL), puedes generar un par de claves (clave pública y clave privada) y crear un certificado digital autofirmado. Esta operación se utiliza normalmente para pruebas de desarrollo o uso interno.

Sin embargo, es importante tener en cuenta que los certificados autofirmados no son de confianza para aplicaciones externas o agencias reguladoras, ya que carecen de verificación de terceros y no pueden proporcionar la garantía de identidad legalmente requerida.

Ejemplo:

Si generas tu propio certificado y lo utilizas para firmar un contrato, el destinatario no puede confirmar si el certificado realmente te pertenece, a menos que se realice una verificación de identidad por separado. Además, en la mayoría de los países o regiones (como Hong Kong, Singapur, Malasia), los contratos electrónicos firmados de esta manera no tienen validez legal.

¿Qué dicen las leyes locales al respecto?

📌 Hong Kong

Según la “Ordenanza de Transacciones Electrónicas” (Capítulo 553), una firma digital solo tiene validez legal si cumple con las siguientes condiciones:

• Está respaldada por un certificado digital reconocido.
• El certificado es emitido por una autoridad de certificación reconocida, como Hong Kong Post o una organización comercial autorizada.
• Se utiliza un dispositivo seguro para firmar.

Por lo tanto, en Hong Kong, no puedes crear tu propio certificado de firma digital con validez legal. Esto no cumple con los requisitos legales para la verificación de identidad.

📌 Singapur

La “Ley de Transacciones Electrónicas” de Singapur y la “Ordenanza de Transacciones Electrónicas (Autoridades de Certificación)” actualizada estipulan que solo los certificados emitidos por autoridades de certificación registradas (como Netrust) y reconocidos por la Autoridad de Desarrollo de Medios de Comunicación de la Información (IMDA) tienen validez legal.

📌 Malasia

La “Ley de Firmas Digitales de 1997” estableció por primera vez la validez legal de las firmas digitales. Solo los certificados digitales emitidos por autoridades de certificación con licencia reconocidas por la Comisión de Comunicaciones y Multimedia de Malasia (MCMC) (como MSC Trustgate) tienen estatus legal.

Por lo tanto, en la mayoría de los países del sudeste asiático, los certificados autofirmados no se reconocen para usos legalmente vinculantes.

¿Cuándo es útil generar tu propio certificado?

Aunque los certificados autofirmados no tienen validez legal, todavía tienen cierta utilidad en los siguientes escenarios:

• Desarrollo de sistemas o pruebas de aplicaciones.
• Protección de comunicaciones privadas por correo electrónico.
• Uso en operaciones internas de bajo riesgo de la empresa.

Sin embargo, es necesario indicar claramente que este tipo de certificado es un certificado autofirmado para evitar que se malinterprete como una firma confiable o legalmente válida.

¿Cómo obtener un certificado de firma digital legal?

Si planeas utilizarlo para la firma de contratos, declaraciones de impuestos gubernamentales, declaraciones de impuestos o transacciones comerciales entre empresas, debes seguir los siguientes pasos:

1. Selecciona una autoridad de certificación (CA) de confianza Prioriza la selección de una CA reconocida y aprobada por las leyes locales, por ejemplo:

   • Hong Kong: HKPost CA o Digi-Sign
   • Singapur: Netrust
   • Malasia: MSC Trustgate

2. Presenta una solicitud y verifica tu identidad Por lo general, se requieren los siguientes documentos:

   • Identificación con foto (por ejemplo, pasaporte o identificación nacional)
   • Comprobante de domicilio
   • Documentos de registro de la empresa (obligatorio para los firmantes de la empresa)

3. Instala el certificado en un dispositivo o software seguro Los DSC generalmente se guardan en tokens USB seguros o se integran en software de firma digital dedicado.

4. Utiliza una plataforma de firma digital compatible La plataforma utilizada debe cumplir con los requisitos reglamentarios locales y poder integrar el certificado y la información de auditoría de la firma.

Plataformas compatibles recomendadas

Aunque plataformas internacionales como DocuSign y Adobe Sign tienen una alta cuota de mercado, estas plataformas no necesariamente cumplen a la perfección con las normas legales locales de Hong Kong o el sudeste asiático.

Aquí es donde reside la ventaja de eSignGlobal.

eSignGlobal está diseñado específicamente para el cumplimiento legal en la región de Asia-Pacífico, admite firmas digitales basadas en PKI y adopta el estándar de cifrado ISO 27001, lo que garantiza:

• Firmas digitales legalmente reconocidas.
• Compatibilidad con CA locales.
• Verificación de identidad que cumple con los requisitos reglamentarios regionales.

Si haces negocios en el sudeste asiático o necesitas procesar documentos transfronterizos, eSignGlobal puede proporcionar una solución de firma digital que cumpla con las normas legales.

Resumen

Entonces, ¿es posible crear tu propio certificado de firma digital? Técnicamente sí, pero legalmente no es adecuado para uso público o formal. A menos que seas una autoridad de certificación con licencia reconocida por el estado, tu certificado autofirmado no tendrá ninguna validez legal.

Para las empresas o personas que operan en Hong Kong y el sudeste asiático, si necesitas una solución de firma electrónica compatible y confiable, eSignGlobal es una alternativa más segura y compatible en comparación con las plataformas estadounidenses como DocuSign.

¿Estás buscando una alternativa a DocuSign que sea segura, confiable y que cumpla con las regulaciones regionales? eSignGlobal es la opción ideal recomendada para usuarios en Hong Kong y el sudeste asiático.