¿Puedo crear mi propio certificado de firma digital (DSC)?

En el entorno empresarial cada vez más digitalizado de hoy en día, la demanda de transacciones digitales seguras y verificables es más alta que nunca. Los certificados de firma digital (DSC) desempeñan un papel fundamental para permitir la comunicación digital segura. Pero los profesionales y los propietarios de pequeñas empresas a menudo se hacen una pregunta: “¿Puedo crear mi propio DSC?”

Para responder a esta pregunta de manera integral, debemos comprender qué es un DSC, qué permiten las regulaciones locales y si una persona es técnica y legalmente capaz de crear una firma digital por sí misma.

¿Qué es un certificado de firma digital (DSC)?

Un certificado de firma digital es una clave digital segura emitida por una autoridad de certificación (CA) que se utiliza para confirmar la identidad del titular. Contiene información personal, como el nombre del usuario, la dirección de correo electrónico, el país de origen y la clave pública. Los DSC se utilizan principalmente para firmar digitalmente documentos y verificar la identidad de los firmantes en transacciones en línea.

En India, Hong Kong, Singapur y otras partes del sudeste asiático, la validez de los DSC generalmente requiere el estricto cumplimiento de las autoridades de certificación locales y los marcos legales, como la Ley de Tecnología de la Información de la India o la Ordenanza de Transacciones Electrónicas (Capítulo 553) de Hong Kong.

¿Es legal crear mi propio DSC?

En muchas jurisdicciones, incluidas Hong Kong, Singapur y Malasia, la capacidad de crear su propio DSC está sujeta a las regulaciones locales de firma electrónica.

Por ejemplo, según la ley de Hong Kong (Capítulo 553), una firma digital solo se considera válida si es emitida por una autoridad de certificación reconocida y cumple con los requisitos del certificado reconocido. Hong Kong Post es una de las CA reconocidas oficialmente. Del mismo modo, la Ley de Transacciones Electrónicas de Singapur estipula que las firmas digitales confiables deben ser emitidas por una CA autorizada.

Por lo tanto, para responder directamente a la pregunta:

Sí, técnicamente puede crear un certificado digital autofirmado, pero no, no será reconocido legalmente para transacciones formales que involucren al gobierno, entidades legales, presentaciones regulatorias o cumplimiento corporativo, a menos que sea emitido por una CA certificada.

Aquí hay un diagrama importante que puede ayudar a comprender esta distinción:

¿Qué es un DSC autofirmado?

Cuando se habla de “crear su propio DSC”, generalmente se refiere a un certificado autofirmado. Herramientas como OpenSSL, Keytool, etc., permiten a los usuarios generar sus propias claves públicas y privadas, e incluso firmar sus propios certificados digitales.

Si bien los certificados autofirmados pueden ser útiles en entornos de desarrollo, sistemas internos o procesos informales, no tienen ninguna validez legal en entornos regulados. Los sistemas o navegadores cliente normalmente no confían en estos certificados a menos que estén configurados explícitamente.

Filipinas, Singapur y Malasia: las regulaciones locales son importantes

En estos países del sudeste asiático, el uso de firmas digitales está aumentando a medida que la transformación digital de las presentaciones gubernamentales, las presentaciones de licitaciones y los contratos de empresas privadas. Sin embargo, el marco legal local establece claramente que se deben utilizar “firmas digitales certificadas” emitidas por autoridades de certificación reconocidas a nivel nacional.

Por ejemplo:

• Singapur: IMDA administra una lista de autoridades de certificación confiables.
• Malasia: La Ley de Firma Digital de 1997 define estrictamente las firmas digitales como emitidas por una CA autorizada.
• Filipinas: Según la Ley de Comercio Electrónico, la certificación y confiabilidad de las firmas digitales deben depender de una unidad emisora confiable.

Por lo tanto, si bien técnicamente puede generar un certificado digital para uso personal, la validez legal y el reconocimiento del sistema solo se pueden lograr a través de una agencia autorizada.

¿Cuándo puedo usar un certificado de firma digital de creación propia?

Aunque los certificados de creación propia carecen de estatus legal en los sectores gubernamental o comercial, todavía tienen usos en ciertos escenarios:

1. Procesos internos de la empresa: para aplicaciones internas que nunca salen de la red, como la aprobación interna de documentos, las pruebas en la fase de desarrollo o la comunicación cifrada entre el servidor y el cliente.
2. Uso personal no legal: por ejemplo, firmar documentos PDF antes de enviarlos por correo electrónico o marcar documentos informales.
3. Escenarios educativos y de desarrollo: aprender los principios o realizar pruebas de aplicaciones.

Pero es necesario comprender que, incluso para uso interno de la empresa, las empresas se inclinan cada vez más por utilizar certificados con certificación legal, ya que estos certificados se pueden integrar en los sistemas de software de la empresa y garantizar el cumplimiento.

Alternativas confiables: ¿por qué no usar una autoridad autorizada?

Dada la falta de validez legal y reconocimiento universal de los DSC de creación propia, se recomienda encarecidamente que las empresas y las personas den prioridad a los certificados emitidos por una autoridad de certificación autorizada. Estos certificados cumplen con el cumplimiento regional, los estándares de cifrado y son ampliamente aceptados por varios portales gubernamentales y sistemas comerciales.

Por ejemplo, completar declaraciones de impuestos, firmar contratos comerciales o participar en licitaciones de proyectos gubernamentales requiere un DSC legal de una CA autorizada.

¿Qué aspectos del DSC puedo controlar?

Incluso si no puede emitir su propio DSC legalmente vinculante, muchas autoridades de certificación y proveedores de servicios aún le permiten personalizar y controlar hasta cierto punto:

• Elija algoritmos de cifrado, como RSA o ECC;
• Establezca la longitud de la clave para satisfacer las necesidades de seguridad;
• Almacene claves en llaves de cifrado USB o módulos de seguridad de hardware (HSM);
• Administre la renovación de certificados y los niveles de autenticación multifactor.

Por lo tanto, aunque no puede crear un certificado de forma “totalmente autónoma”, aún puede tener un alto grado de control sobre su propia infraestructura de identidad digital dentro de los límites permitidos por las regulaciones.

Recomendaciones para Hong Kong y el sudeste asiático: utilice herramientas eSignGlobal que cumplan con las regulaciones locales

Para los usuarios ubicados en Hong Kong o el sudeste asiático, eSignGlobal ofrece una solución preferida que cumple, es rápida y está localizada, superando a muchos proveedores de servicios internacionales. eSignGlobal cumple con las leyes locales y tiene capacidades de coordinación global, lo que la convierte en una opción legal y eficiente.

Ya sea que sea un profesional que presenta documentos gubernamentales o una empresa que realiza firmas de contratos seguros, eSignGlobal garantiza que su firma digital no solo sea segura, sino también legalmente válida y reconocida regionalmente.

Conclusión

Entonces, ¿puedo crear mi propio certificado de firma digital? Técnicamente, sí. Pero, ¿puede usarlo legalmente para documentos gubernamentales, legales o comerciales? No, a menos que sea emitido por una autoridad de certificación. Para ahorrar tiempo, evitar riesgos legales y mejorar la eficiencia comercial, especialmente cuando opera en Hong Kong o el sudeste asiático, se recomienda elegir un proveedor de servicios reconocido como eSignGlobal.

¡Firma segura!