Este artículo sólo se aplica al DocuWare Windows Client. El Web Client no soporta la firma electrónica.
Pregunta:
¿Cuáles son las condiciones de uso de la firma electrónica?
Respuesta:
Las condiciones de uso de la firma electrónica que se describen a continuación se refieren a Alemania y a la Ley de Firma Electrónica alemana. Las condiciones de uso en otros países pueden ser similares. Tenga en cuenta las disposiciones legales del país en el que desee utilizar la firma electrónica.
Todos los dispositivos utilizados como terminales de tarjetas chip deben ser terminales de tarjetas chip verificados y confirmados según los términos de la Ley de Firma y la Ordenanza de Firma y deben implementar la API Crypto de Microsoft.
Según los términos de la Ley de Firma y la Ordenanza de Firma, sólo los dispositivos de creación de firma que hayan sido verificados y confirmados como seguros pueden utilizarse como tarjetas chip personalizadas.
Cuando se utilicen Firmas electrónicas reconocidas, el administrador deberá seguir las siguientes directrices de seguridad:
El cliente DocuWare 5 debe instalarse en un ordenador dedicado. El servidor DocuWare 5 también debe instalarse en un ordenador dedicado. Los componentes individuales pueden instalarse en un único ordenador (instalación móvil única) o en distintos ordenadores. Para obtener una descripción detallada de los distintos tipos de instalación, consulte el Manual de instalación de DocuWare. Si utiliza una instalación en red, el administrador debe asegurarse de que los clientes y los servidores se comunican entre sí a través de líneas seguras dentro de un entorno protegido.
El acceso al ordenador en cuestión desde otro ordenador de la red local debe impedirse mediante un mecanismo de filtro de paquetes instalado localmente. La apertura de conexiones por parte de aplicaciones en el propio ordenador debe restringirse a las direcciones IP, puertos y protocolos que requiera para su funcionamiento.
El ordenador en el que se instalen el cliente y/o los servidores debe estar situado en una sala a la que sólo pueda acceder personal autorizado. Antes de la instalación y durante el funcionamiento del producto, debe garantizarse que la seguridad del ordenador y del sistema operativo instalado no se ha visto ni se ve comprometida. El propio software DocuWare está firmado y no puede iniciarse si se manipula, ya que entonces se romperá la firma. El sistema operativo instalado en el ordenador debe mantenerse al día mediante la instalación de correcciones y actualizaciones de seguridad a medida que estén disponibles. No debe haber ningún otro sistema operativo activo en tiempo de ejecución (no máquinas virtuales).
El acceso a la estructura de almacenamiento de DocuWare debe estar reservado únicamente a los servidores DocuWare (DocuWare Content Server). Ningún otro usuario puede tener acceso a ella. Esto puede garantizarse mediante la estructura de derechos de Windows.
Las estaciones de trabajo DocuWare que se utilicen para crear firmas electrónicas reconocidas deben ejecutarse en una red interna protegida contra ataques externos mediante un cortafuegos. El acceso desde redes públicas a la red local en la que reside el ordenador debe impedirse mediante un enrutador configurado adecuadamente. Además, debe instalarse un antivirus actualizado en la estación de trabajo.
Los terminales de tarjetas chip utilizados deben estar conectados directamente al ordenador en el que está instalado y se ejecuta el cliente DocuWare (no los sistemas KIOSK).
El reloj del sistema del ordenador en el que está instalado DocuWare Authentication Server debe ser preciso. Recomendamos sincronizar el reloj del sistema mediante una referencia horaria adecuada (NTP).
Para la creación de Firmas electrónicas reconocidas deben utilizarse terminales de tarjeta chip con teclado propio, dispositivos seguros de creación de firma (tarjetas de firma) que implementen la API Microsoft Crypto y certificados reconocidos; la idoneidad de estos terminales también debe ser verificada y confirmada en los términos de la Ley de Firma Electrónica y la Ordenanza de Firma Electrónica.
El administrador de la Organización debe garantizar que sólo las personas autorizadas pueden crear sellos de firma, y que sólo las personas autorizadas pueden utilizar sellos de firma que generen Firmas Electrónicas Reconocidas. Se recomienda asignar siempre los sellos de firma que generan Firmas Electrónicas Reconocidas directamente a los usuarios del producto. El administrador debe asegurarse de que es imposible que los sellos de firma se asignen a través de perfiles, funciones o grupos.
El administrador de la Organization debe garantizar que se aplican las siguientes condiciones a todas las personas autorizadas a utilizar sellos de firma o a crear Firmas Electrónicas Cualificadas: estas personas sólo deben tener acceso a las cestas en modo DocuWare 5, no en modo DocuWare 4, y no deben tener derecho a administrar cestas.
El administrador debe asegurarse de que sólo se importan certificados actualizados al almacén de certificados de Windows del ordenador en el que está instalado el cliente DocuWare. El administrador también debe garantizar que sólo se importan listas negras actualizadas al almacén de certificados de Windows del ordenador en el que está instalado el cliente DocuWare. Puede asegurarse de ello mediante las funciones del sistema operativo Windows (almacén de certificados de Windows).
Si se exportan documentos firmados desde DocuWare, los usuarios deben asegurarse de que están protegidos contra el acceso no autorizado.
Las cestas utilizadas para firmas masivas sólo pueden ser utilizadas por personas autorizadas. Esto debe garantizarse mediante los mecanismos de seguridad de Windows.
DocuWare crea la firma utilizando la API Crypto, un componente de los sistemas operativos Microsoft Windows. El software utilizado por el dispositivo de creación de firma debe implementar esta interfaz.
Los valores hash se crean utilizando las clases .net accesibles en el espacio de nombres System.Security.Cryptography. El valor hash se genera en un proceso de dos etapas de acuerdo con el estándar de firma digital XML.
Cuando un usuario crea una firma, toda la cadena de certificados, desde el propio certificado del usuario hasta el certificado raíz asociado, debe guardarse en el almacén de certificados de Windows. El almacén de certificados de Windows es un componente de los sistemas operativos Windows compatibles.
Cuando se comprueba la firma, también debe guardarse toda la cadena de certificados en el almacén de certificados de Windows del ordenador en cuestión. El certificado de usuario también puede guardarse en la firma si es necesario. En este caso, no debe existir en el almacén de certificados de Windows del ordenador personal en el que se comprueba.
Tenga en cuenta: Este artículo es una traducción del idioma inglés. La información contenida en este artículo se basa en la(s) versión(es) original(es) del producto(s) en inglés. Puede haber errores menores, como en la gramática utilizada en la versión traducida de nuestros artículos. Si bien no podemos garantizar la exactitud completa de la traducción, en la mayoría de los casos, encontrará que es lo suficientemente informativa. En caso de duda, vuelva a la versión en inglés de este artículo.