UNIVERSIDAD DON BOSCO VICERRECTORÍA ACADÉMICA FACULTAD DE INGENIERÍA TRABAJO DE GRADUACIÓN PARA OPTAR AL GRADO DE Maestra en Seguridad y Gestión de Riesgos Informáticos PROYECTO Propuesta de implementación de firma electrónica en El Salvador para bancos cooperativos y sociedades de ahorro y crédito, basado en la situación actual de COMÉDICA DE R.L PRESENTADO POR Evelyn del Carmen Alvarenga González Telma Milagro Pineda Cerón ASESOR Iván Orlando Alvarado Niño Antiguo Cuscatlán, La Libertad, El Salvador, Centro América Enero 2020 ÍNDICE PROBLEMÁTICA ...................................................................................................... 7 1.1. PLANTEAMIENTO DEL PROBLEMA ......................................................................................... 7 1.2. JUSTIFICACIÓN ....................................................................................................................... 8 1.3. OBJETIVOS .............................................................................................................................. 8 ESTADO DEL ARTE ................................................................................................. 10 2.1. ANTECEDENTES .................................................................................................................... 10 2.2. BASES LEGALES .................................................................................................................... 10 2.2.1. Conceptos ..................................................................................................................... 11 2.2.2. Partes Involucradas ....................................................................................................... 12 2.2.3. Lineamientos ................................................................................................................. 14 2.3. BASES TEÓRICAS .................................................................................................................. 20 2.3.1. Principios de Seguridad de la Firma Electrónica. .......................................................... 20 2.3.2. Infraestructura de Llave Pública (PKI) ........................................................................... 20 2.3.3. Certificado Digital .......................................................................................................... 21 2.3.4. Firma Digital .................................................................................................................. 23 2.3.5. Firma electrónica .......................................................................................................... 23 METODOLOGÍA ..................................................................................................... 27 3.1. DISEÑO DE LA INVESTIGACIÓN. ........................................................................................... 27 3.2. UNIDADES DE ANÁLISIS Y SUJETOS DE ESTUDIO ................................................................. 27 3.2.1. Marco Legal ................................................................................................................... 27 3.2.2. COMÉDICA de R.L. ......................................................................................................... 28 3.2.3. Proceso de Firma Electrónica ........................................................................................ 28 3.3. VARIABLES DE LA INVESTIGACIÓN ....................................................................................... 28 3.3.1. Variables Marco Legal. .................................................................................................. 29 3.3.2. Variables COMÉDICA de R.L. ......................................................................................... 30 3.3.3. Variables del Proceso de Firma Electrónica. ................................................................. 30 3.4. POBLACIÓN Y MUESTRA. ..................................................................................................... 31 3.5. INSTRUMENTOS ................................................................................................................... 32 3.6. PROCEDIMIENTOS ............................................................................................................... 33 3.6.1. Análisis de Contenido. ................................................................................................... 33 3.6.2. Entrevistas. .................................................................................................................... 34 RESULTADOS ......................................................................................................... 35 4.1. RESULTADOS DEL OBJETIVO ESPECÍFICO 1 .......................................................................... 35 4.2. RESULTADOS DEL OBJETIVO ESPECÍFICO 2 .......................................................................... 36 4.3. RESULTADOS DEL OBJETIVO ESPECÍFICO 3 .......................................................................... 38 PROPUESTA ........................................................................................................... 40 5.1. PROCESOS PARA LA IMPLEMENTACIÓN DE FIRMA ELECTRÓNICA. .................................... 40 5.1.1. Departamento Jurídico ................................................................................................. 41 5.1.2. Departamento de TI. ..................................................................................................... 42 5.1.3. Departamento de Atención al Asociado. ...................................................................... 46 CONCLUSIONES Y RECOMENDACIONES ............................................................... 47 6.1. CONCLUSIONES .................................................................................................................... 47 6.1.1. Obtenidas de la Problemática ....................................................................................... 47 6.1.2. Obtenidas de los Objetivos ........................................................................................... 47 6.1.3. Generales ...................................................................................................................... 48 6.2. RECOMENDACIONES............................................................................................................ 49 BIBLIOGRAFIA……. ........................................................................................................................... 50 ANEXOS ANEXO A - MATRIZ DE LOS PROCESOS EN LOS QUE INTERVIENE LA SSF Y SU IMPLICACIÓN EN EL PROCESO DE FIRMA ELECTRÓNICA. ..................................................................................... A-1 ANEXO B - ENTREVISTAS DEPARTAMENTO JURÍDICO .............................................................. B-1 ANEXO C – ENTREVISTA DEPARTAMENTO TI ........................................................................... C-1 ANEXO D - ENTREVISTAS AUDITOR DE LA SUPERINTENDENCIA DEL SISTEMA FINANCIERO ... D-1 ÍNDICE DE FIGURAS Figura 2-1 Principios de la Seguridad de la Información ............................................................... 20 Figura 2-2 Llaves de un usuario ..................................................................................................... 21 Figura 2-3 Autoridad Certificadora según la Secretaría Técnica ................................................... 22 Figura 2-4 Estructura de un Certificado Digital ............................................................................. 22 Figura 2-5 Proceso de Generación de Firma Electrónica .............................................................. 25 Figura 2-6 Proceso de Verificación de Firma Electrónica .............................................................. 26 Figura 3-1 Variables extraídas de la Ley de Firma Electrónica y el Reglamento de esta. ............. 29 Figura 3-2 Variables según la normativa de bancos cooperativos ................................................ 30 Figura 3-3 Variables COMÉDICA de R.L ......................................................................................... 30 Figura 3-4 Variables del Proceso de Firma Electrónica ................................................................. 31 Figura 3-5 Instrumentos obtenidos de cada variable. .................................................................. 33 Figura 5-1 Procesos a gran escala para la implementación de firma electrónica ......................... 40 Figura 5-2 Análisis de Ley de Firma Electrónica - Departamento Jurídico .................................... 41 Figura 5-3 Departamentos que analizaran los procesos legales de COMÉDICA. .......................... 41 Figura 5-4 Elementos a conocer de Ley por el Departamento de TI ............................................. 44 Figura 5-5 Análisis de Requerimientos por el Departamento de TI .............................................. 44 Figura 5-6 Elementos a considerar para el desarrollo de software .............................................. 45 Figura 5-7 Capacitación por parte del Departamento de TI ......................................................... 45 file:///C:/Users/tpineda/Desktop/EV%20-%20TP%20Tesis/Tesis06012020%20EA-TP.docx%23_Toc29202634 INDICE DE TABLAS Tabla 4-1 Resultados por unidad de análisis o sujeto de estudio del objetivo específico 1 .......... 36 Tabla 4-2 Resultados por sujeto de estudio del objetivo específico 2 ........................................... 37 Tabla 4-3 Resultados por unidad de análisis del objetivo específico 3 .......................................... 39 7 PROBLEMÁTICA 1.1. PLANTEAMIENTO DEL PROBLEMA En los últimos años se ha dado una serie de innovaciones y descubrimientos tecnológicos a nivel mundial, con lo cual se ha pasado de proceso manuales a procesos digitales a través de la implementación de sistemas informáticos que ayudan a que dichos procesos sean cada vez más eficientes. El Salvador no es la excepción a estos cambios, para el caso del ámbito bancario, la tecnología ha jugado un papel importante hacia una transformación digital de todo su proceder, automatizando sus procesos principales, digitalizando la información y permitiendo realizar operaciones desde la comodidad del hogar a través de aplicaciones móviles, plataformas de banca online, herramientas biométricas, entre otras tecnologías como podría ser la firma electrónica. Si bien es cierto la automatización de procesos se ve transformado en una mayor rapidez y eficiencia para una organización, hay muchos casos en los que algunos trámites o procesos requieren de la presencia física de un usuario, por ejemplo, para estampar su firma autógrafa en algunos documentos de ley o que son necesarios para la autorización de ciertos trámites, como lo es el caso de la mayoría de bancos y cooperativas en El Salvador, entre estas incluida la Asociación Cooperativa de Ahorro y Crédito del Colegio Médico de El Salvador (COMÉDICA DE R.L), la cual cuenta con más de 40 años de trayectoria y es referente entre las cooperativas por su solidez financiera. En relación con lo anterior, El Salvador cuenta desde octubre de 2015 con una Ley de Firma Electrónica lo cual indicaría que no falta mucho tiempo para que se inicie con su implementación y utilización en el país, por ello surgen las siguientes inquietudes ¿Cuáles son los prerrequisitos que se deben cumplir antes de iniciar con la implementación de la firma electrónica en una entidad financiera? ¿Cuál es la documentación que debe completarse o cuales condiciones deben 8 cumplir, en cuanto a infraestructura tecnológica y documental de procesos las entidades que deseen hacer uso de dicha tecnología? ¿Cómo va a influir en sus procesos? 1.2. JUSTIFICACIÓN El Salvador, como se mencionó anteriormente desde hace varios años cuenta con una Ley de Firma Electrónica, con el paso del tiempo las autoridades principalmente involucradas en este proceso, como el Ministerio de Economía, han venido trabajando en ir diseñando los procesos para que ésta pueda comenzar a operar en el país. Se espera que los primeros que se vean involucrados en el uso de la firma electrónica sean las entidades del gobierno, lo cual repercutirá eventualmente en los bancos cooperativos y sociedades de ahorro y crédito, por los procesos que éstos tienen en los que se involucran entidades gubernamentales, por ello surge la idea de diseñar un plan guía de implementación para la firma electrónica que oriente a las instituciones financieras (bancos cooperativos y sociedades de ahorro y crédito) en el proceso, de esta manera estarán preparadas para cuando la firma electrónica inicie su funcionamiento en El Salvador. 1.3. OBJETIVOS Objetivo General Desarrollar una guía de implementación de firma electrónica en El Salvador para sociedades de ahorro y crédito, utilizando como base la situación actual de la Asociación Cooperativa de Ahorro y Crédito del Colegio Médico de El Salvador (COMÉDICA DE R.L). 9 Objetivos Específicos • Identificar las regulaciones descritas en la Ley de Firma Electrónica que son aplicables al rubro de los bancos cooperativos y sociedades de ahorro y crédito de El Salvador y analizar el impacto que estas causarían en las metodologías, procedimientos y normativas internas utilizados para la realización de operaciones. • Analizar la situación actual de la cooperativa COMÉDICA DE R.L para que describa el contexto general del resto de bancos cooperativos y sociedades de ahorro y crédito de El Salvador, y de esta manera generar los requerimientos de hardware y software mínimos para la correcta implementación de firma electrónica. • Describir el proceso de generación de firma electrónica y su posible funcionamiento para los bancos cooperativos y sociedades de ahorro y crédito de El Salvador, para establecer las macro actividades necesarias que se tienen que llevar a cabo para la implementación y puesta en marcha de la firma electrónica en dichas instituciones. 10 ESTADO DEL ARTE 2.1. ANTECEDENTES Resulta innegable el hecho que en estos últimos tiempos el mundo ha tenido grandes avances tecnológicos, a los cuales la industria, personas, etc., se han tenido que acostumbrar generando un incremento en el uso de medios electrónicos ya que estos ayudan a agilizar procesos, o bien a poder realizar actividades desde la comodidad del hogar o desde cualquier lugar que se encuentre. La firma electrónica permite a usuarios del sistema financiero hacer uso de sus servicios de una forma ágil y confiable, mediante el manejo de documentación digitalizada, permitiendo optimización de tiempo, recursos, etc. teniendo el mismo marco de acción legal que la firma autógrafa, en cuanto a mostrar la conformidad del firmante con el contenido del documento. Además, se agregan características como el no repudio, autenticación e integridad del documento firmado electrónicamente debido a que se utilizan mecanismos criptográficos para su aplicación. En varios países como por ejemplo Argentina, Chile, Ecuador, México, Costa Rica, Perú, la Unión Europea entre otros ya cuentan con firma electrónica, lo cual ha sido posible gracias a los avances que se ha ido teniendo con la criptografía. Cabe destacar que cada uno de los países que cuentan con la firma electrónica tiene una legislación que avala a la misma. En América Latina hay varios países ya con implementación de firma electrónica, sin embargo, en El Salvador es algo que aún se encuentra en proceso, ya se cuenta con la Ley de Firma Electrónica y el Reglamento de esta desde el año 2015. 2.2. BASES LEGALES En octubre de 2015 se publica en El Salvador la Ley de Firma Electrónica, desde entonces se ha comenzado con paso lento la puesta práctica de la misma, por lo que la implementación del 11 modelo de firma electrónica en el país debe respetar y someterse a los lineamientos que se exponen y describen en la misma, para tener una mayor claridad del marco legal. 2.2.1. Conceptos Dentro de la Ley de Firma Electrónica se presentan los siguientes conceptos, los cuales deben tenerse muy claros y presentes para el momento de la implementación y poder comprender el funcionamiento del proceso de firma electrónica. • “Acreditación: Es la autorización que otorga la autoridad competente establecida en la presente Ley, a los proveedores de servicios de certificación, para operar y proporcionar certificados electrónicos, y a los proveedores de servicios de almacenamiento de documentos electrónicos, una vez cumplidos los requisitos y condiciones establecidos en la presente Ley.” (Ley de Firma Electrónica, 2015, p.2). • “Certificado Electrónico: Documento proporcionado por un proveedor de servicios de certificación que otorga certeza a la firma electrónica certificada, garantizando la asociación de la persona con dicha firma. “(Ley de Firma Electrónica, 2015, p.3). • “Firma Autógrafa: Marca o signo, que una persona escribe de su propia mano en un instrumento o documento para asegurar o autenticar la identidad de una persona como prueba del consentimiento y verificación de la información contenida en dicho instrumento.” (Ley de Firma Electrónica, 2015, p.3). • “Firma Electrónica Simple: Son los datos en forma electrónica, consignados en un mensaje de datos o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos, e indicar que el firmante aprueba la información recogida en el mensaje de datos. “(Ley de Firma Electrónica, 2015, p.3). 12 • “Firma Electrónica Certificada: Son los datos en forma electrónica, consignados en un mensaje de datos o lógicamente asociados al mismo, que permiten la identificación del signatario, y que los datos de creación de la firma se encuentran en exclusivo control del signatario, lo que permite que sea detectable cualquier modificación ulterior al contenido del mensaje de datos. “(Ley de Firma Electrónica, 2015, p.3). • “Firmante: La persona que posee los datos de la creación de la firma y que actúa en nombre propio o de la persona que representa. “(Ley de Firma Electrónica, 2015, p.3). • “Proveedor de Servicios de Certificación: Persona jurídica autorizada por la autoridad competente, dedicada a emitir certificados electrónicos y demás actividades previstas en esta Ley. “(Ley de Firma Electrónica, 2015, p.3). • “Proveedor de Servicios de Almacenamiento de Documentos Electrónicos: Persona jurídica autorizada por la autoridad competente que, por la naturaleza de su negocio, brinda servicios de almacenamiento de documentos electrónicos. “(Ley de Firma Electrónica, 2015, p.3). • “Signatario: Persona que posee un dispositivo de creación de firma electrónica certificada y que actúa en nombre propio o a nombre de una persona natural o jurídica que representa. “(Ley de Firma Electrónica, 2015, p.4). 2.2.2. Partes Involucradas Dentro de la Ley también se encuentra definido quiénes o qué entidades son las que se encuentran involucradas en el proceso. • “La Autoridad de Control y Vigilancia Art. 35.- Créase la Unidad de Firma Electrónica, como parte del Ministerio de Economía, el que en el texto de esta Ley podrá abreviarse MINEC. El ministro nombrará al funcionario que 13 estará a cargo de esta Unidad, quien deberá reunir los requisitos que para tal efecto se establezcan en el reglamento de esta Ley. “(Ley de Firma Electrónica, 2015, p.13). • “De la Unidad de Firma Electrónica Art. 36.- La Unidad de Firma Electrónica será la autoridad registradora y acreditadora raíz, y la competente para la acreditación, control y vigilancia de los proveedores de los servicios de certificación electrónica y de almacenamiento de documentos electrónicos, de conformidad con esta Ley, su reglamento y las normas y reglamentos técnicos.” (Ley de Firma Electrónica, 2015, p.13). • “Conformación del Comité Técnico Consultivo Art. 38.- Créase el Comité Técnico Consultivo, con el objeto de asesorar al Ministerio de Economía en lo relativo a la Ley de Firma Electrónica. Este Comité podrá ser consultado sobre cualquier aspecto de la aplicación e implementación de la presente Ley, y sesionará al menos una vez trimestralmente; su funcionamiento será regulado por el reglamento de esta Ley. El Comité estará integrado por un propietario y su respectivo suplente, de las siguientes instituciones e instancias: a) El jefe de la Unidad de Firma Electrónica del Ministerio de Economía, quien lo presidirá; b) La Superintendencia de Competencia; c) La Dirección de Innovación Tecnológica e Informática de la Presidencia de la República; d) La Superintendencia General de Electricidad y Telecomunicaciones; e) La Defensoría del Consumidor; f) De las gremiales de la empresa privada con personería jurídica relacionada con el objeto de esta Ley; g) Las universidades acreditadas por el Ministerio de Educación; y, Las organizaciones no gubernamentales con personalidad jurídica relacionadas al objeto de esta Ley. “(Ley de Firma Electrónica, 2015, p.14). 14 2.2.3. Lineamientos De igual forma en la ley se incluyen los lineamientos y/o normativas que se deben cumplir para el proceso de firma electrónica. • “Garantías Mínimas que debe Cumplir el Sistema de Almacenamiento de Documentos Electrónicos Art. 14.- Al someterse el documento a almacenamiento electrónico, éste deberá quedar conservado en un medio adecuado. El procedimiento utilizado para el almacenamiento de documentos electrónicos deberá garantizar: a) Que los documentos electrónicos queden almacenados en forma nítida, íntegra, segura y con absoluta fidelidad; b) Que pueda determinarse con precisión la fecha y la hora en las que un documento fue almacenado electrónicamente; c) La recuperación del documento electrónico; y, d) Que cumple con los reglamentos técnicos y normativas establecidas por la autoridad competente. La omisión de cualquiera de estos requisitos, así como la alteración o adulteración que afecten la integridad del soporte o documento electrónico en el que la información ha sido almacenada, harán perder el valor legal que esta Ley otorga a los documentos almacenados electrónicamente. “(Ley de Firma Electrónica, 2015, p.7). • “Requisitos y Efectos de la Firma Electrónica Certificada Art. 23.- La firma electrónica certificada debe estar sustentada en un método de creación y verificación confiable y seguro, de manera que aquélla sea inalterable, alertando al destinatario en caso de modificación de la información, después de ser suscrita por el signatario. La firma electrónica certificada tiene los siguientes efectos: 15 a) Vincula un mensaje de datos con su titular, de manera exclusiva; b) Permite la verificación inequívoca de la autoría e identidad del signatario; y, c) Asegura que los datos de la firma estén bajo control exclusivo del signatario. “(Ley de Firma Electrónica, 2015, p.10). • “Presunciones del Empleo de la Firma Electrónica Certificada Art. 25.- El empleo de la firma electrónica certificada que cumpla los requisitos exigidos en la presente Ley, salvo prueba en contrario, presume lo siguiente: a) Que la firma electrónica certificada pertenece al titular de la misma; y, b) Que el mensaje de datos vinculado a la firma electrónica certificada no ha sido modificado desde el momento de su envío, si el resultado del procedimiento de verificación así lo indica. “(Ley de Firma Electrónica, 2015, p.10). • “Inhabilitación en el Uso de Firma Electrónica Certificada Art. 26.- No podrán solicitar certificados electrónicos y hacer uso de la firma electrónica certificada, los menores de edad y los incapaces conforme a las reglas del derecho común, y los privados de libertad condenados en sentencia firme. “(Ley de Firma Electrónica, 2015, p.11). • “Solicitud para el Uso de la Firma Electrónica Certificada por Representantes de Personas Jurídicas Art. 28.- Los certificados electrónicos de personas jurídicas para los dispositivos electrónicos utilizados en una empresa, como computadoras, servidores, entre otros, deberán ser solicitados por medio de sus administradores y representantes legales con poder suficiente. La custodia de los datos de creación de firma electrónica certificada asociados a cada certificado electrónico de persona jurídica, será responsabilidad de la persona natural solicitante cuya identificación se incluirá en el certificado electrónico. La persona jurídica conforme a la legislación aplicable a su naturaleza y constitución, podrá imponer los límites que considere por razón de cuantía o materia para el uso de los datos de 16 creación de firma electrónica certificada. Estos límites deberán figurar en el certificado electrónico. Se entenderán realizados por la persona jurídica, los actos en los que su firma electrónica certificada se hubiera empleado dentro de los límites establecidos conforme a la legislación aplicable a su naturaleza y constitución. Si la firma electrónica certificada se utiliza transgrediendo dichos limites, la persona jurídica quedará vinculada frente a terceros y se aplicará lo establecido en la legislación pertinente. “(Ley de Firma Electrónica, 2015, p.11). • “Uso de Firma Electrónica Simple Art. 29.- Las autoridades, funcionarios y empleados del Estado que presten servicios públicos, ejecuten o realicen actos dentro de su ámbito de competencia, podrán suscribirlos por medio de firma electrónica simple. “(Ley de Firma Electrónica, 2015, p.11). • “Uso de Firma Electrónica Certificada Art. 30.- En aquellos casos en que los funcionarios o empleados del Estado expidan cualquier documento o realicen actos administrativos en que se otorguen derechos, sancionen, o constituyan información confidencial, según el Art. 24 de la Ley de Acceso a la Información Pública a los administrados, será necesario utilizar firma electrónica certificada. El proveedor de servicios de certificación deberá consignar en el certificado la calidad con la que firmará electrónicamente, así como los límites de su competencia. Se exceptúan del uso de la firma electrónica certificada, en aquellas actuaciones para las cuales la Constitución de la República o las Leyes exijan alguna solemnidad que no sea susceptible de cumplirse mediante documentos electrónicos, mensaje de datos o firma electrónica certificada.” (Ley de Firma Electrónica, 2015, p.12). En artículo 24 de la Ley de Acceso a la Información Pública se define como información confidencial: 17 a) “La referente al derecho a la intimidad personal y familiar, al honor y a la propia imagen, así como archivos médicos cuya divulgación constituiría una invasión a la privacidad de la persona. b) La entregada con tal carácter por los particulares a los entes obligados, siempre que por la naturaleza de la información tengan el derecho a restringir su divulgación. c) Los datos personales que requieran el consentimiento de los individuos para su difusión. d) Los secretos profesional, comercial, industrial, fiscal, bancario, fiduciario u otro considerado como tal por una disposición legal. Los padres, madres y tutores tendrán derecho de acceso irrestricto a la información confidencial de los menores bajo su autoridad parental. “(Ley de Acceso a la Información Pública, 2011, p.14). • “Contenido del Certificado Electrónico Art. 58.- El certificado electrónico deberá contener al menos, la siguiente información: a) Identificación del titular del certificado electrónico, indicando su domicilio y dirección electrónica; b) Identificación del proveedor de servicios de certificación que proporciona el certificado electrónico, indicando su domicilio y dirección electrónica; c) Fecha de la acreditación y caducidad asignada al proveedor de servicios de certificación por la Unidad de Firma Electrónica; d) Fecha de emisión y expiración del certificado; e) Número de serie o de identificación del certificado; f) La firma electrónica certificada del prestador de servicios de certificación que emitió el certificado; g) Datos de verificación de la firma, los cuales deben corresponder a la información de su creación y que están bajo el control del firmante; h) Cualquier información relativa a las limitaciones de uso, vigencia y responsabilidad a las que esté sometido el certificado electrónico; i) Indicación de la ruta de certificación; y, 18 j) Si el certificado ha sido emitido por una persona que ha actuado en representación de una persona natural o jurídica; en tal caso, el certificado deberá incluir una indicación del documento legal, público, o privado autenticado, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona física o jurídica a la que representa. La falta de alguno de estos requisitos invalidará el certificado.” (Ley de Firma Electrónica, 2015, p.23). En cuanto al almacenamiento de los datos/ documentos electrónicos que vayan firmados, dado que se pretende que estos sean almacenados por COMÉDICA propiamente y no a través de servicios tercerizados, se describe el requerimiento legal según la Ley de Firma Electrónica para ello. • “Formas de Conservación de Documentos Art. 12.- El cumplimiento de la obligación de conservar documentos, registros o informaciones en documentos electrónicos, se podrá realizar por cuenta propia o a través de terceros. Toda persona jurídica, nacional o extranjera, que realice almacenamiento de documentos electrónicos de terceros, deberá registrarse como prestador de servicios de almacenamiento de documentos electrónicos ante la autoridad competente. Las personas naturales y jurídicas, nacionales o extranjeras que realicen por cuenta propia el almacenamiento de documentos electrónicos con el interés que dichos documentos tengan el valor legal otorgado por esta Ley, deberán cumplir con los requisitos mínimos establecidos en la misma, su reglamento, y en las normas o reglamentos técnicos que se emitan al efecto. “(Ley de Firma Electrónica, 2015, p.6). • “Requisitos para la Conservación de Documentos Art. 13.- Si la Ley exige que la información contenida en un mensaje de datos conste por escrito, ese requisito se dará por cumplido si la información que contiene el mensaje de datos está disponible para una consulta posterior. 19 Cuando la Ley exige que ciertos actos o negocios jurídicos consten por escrito y que su soporte permanezca accesible, conservado o archivado por un período determinado de tiempo, éstos estarán sujetos a las disposiciones legales pertinentes, estableciéndose mediante un archivo electrónico, que cumpla con los siguientes requisitos: a) Que la información que contenga pueda ser consultada posteriormente; b) Que conserven el formato en que se generó, archivó o recibió, o en algún formato que sea demostrable que reproduce con exactitud la información generada o recibida; y, c) Que se mantenga íntegro, completo y sin alteraciones todo dato que permita determinar el origen y el destino del mensaje de datos, la fecha y la hora en que fue enviado o recibido. Cuando el plazo para su conservación no estuviese regulado por la Ley, se establecerá el procedimiento adecuado para su tratamiento conforme al reglamento que se emita al respecto.” (Ley de Firma Electrónica, 2015, p.6). • “Garantías Mínimas que debe Cumplir el Sistema de Almacenamiento de Documentos Electrónicos Art. 14.- Al someterse el documento a almacenamiento electrónico, éste deberá quedar conservado en un medio adecuado. El procedimiento utilizado para el almacenamiento de documentos electrónicos deberá garantizar: a) Que los documentos electrónicos queden almacenados en forma nítida, íntegra, segura y con absoluta fidelidad; b) Que pueda determinarse con precisión la fecha y la hora en las que un documento fue almacenado electrónicamente; c) La recuperación del documento electrónico; y, d) Que cumple con los reglamentos técnicos y normativas establecidas por la autoridad competente. La omisión de cualquiera de estos requisitos, así como la alteración o adulteración que afecten la integridad del soporte o documento electrónico en el que la información ha sido 20 almacenada, harán perder el valor legal que esta Ley otorga a los documentos almacenados electrónicamente. “(Ley de Firma Electrónica, 2015, p.7). 2.3. BASES TEÓRICAS Para el proceso de firma electrónica es importante tener claro no sólo el marco legal de cada país en la que se implementa, sino también bases teóricas las cuales definen procesos, conceptos, procedimientos incluso requerimientos para poder primero comprender el proceso global y luego proceder a una implementación. 2.3.1. Principios de Seguridad de la Firma Electrónica. Los principios de la seguridad de la información que busca garantizar el proceso de firma electrónica en El Salvador son: Figura 2-1 Principios de la Seguridad de la Información 2.3.2. Infraestructura de Llave Pública (PKI) La infraestructura de llave pública (PKI por sus siglas en inglés) se utiliza para autenticar usuarios que participen en una transacción a través algoritmos de cifrados y elementos criptográficos, los cuales proporcionan mecanismos para mantener la privacidad de la transacción. Autenticación • Sirve para garantizar que el autor del mensaje es quien dice ser. Integridad • Asegura que los datos/mensaje que ha sido recibido es el enviado, es decir no ha sido alterado. Confidencialidad • Pretende garantizar que el mensaje sólo sea leído por quien está autorizado a hacerlo. No Repudio • Garantiza que quien envió el mensaje no pueda negar que ha sido él el autor del mismo. 21 Dentro de la criptografía de llave publica hay dos conceptos importantes que conocer que son la llave pública y llave privada, una llave privada es utilizada para firmar documentos y ésta solo es del conocimiento de la persona a la que pertenece mientras que la llave pública es compartida por el dueño a los demás ya que se utiliza para verificar las firmas que se han generado utilizando la llave privada. Figura 2-2 Llaves de un usuario A cada llave pública le corresponde una y sólo una llave privada, las cuales en conjunto se conocen como par de llaves, cabe destacar que la llave pública podría derivarse de la llave privada, sin embargo, es no es para nada factible hacerlo a la inversa, es decir, de la llave publica derivar la privada. 2.3.3. Certificado Digital Un certificado digital es un medio que permite garantizar la identidad de una persona, para ello se utiliza la clave pública, los certificados digitales permiten que se dé el proceso de firma electrónica de tal forma que el receptor pueda verificar que el mensaje lo envió quien dice enviarlo y que el contenido no ha sido alterado. El certificado digital es emitido por una entidad certificadora, la cual ha sido autorizada para ello por la autoridad certificadora raíz, que es la mayor de las autoridades certificadoras, sobre ella no hay nadie más. La principal función de la autoridad certificadora es verificar y garantizar la asociación que se ha hecho de una persona natural o jurídica con el certificado digital. Fuente: Elaboración propia 22 Según una presentación de la Secretaría Técnica1 la autoridad certificadora es una combinación de: Figura 2-3 Autoridad Certificadora según la Secretaría Técnica Una estructura básica y simplificada de un certificado digital es la siguiente: Datos del Propietario Llave Pública del Propietario Datos de la Autoridad Certificadora (AC) Firma de la AC que emite el certificado Figura 2-4 Estructura de un Certificado Digital 1 (Secretaria Técnica y de Planificación de la Presidencia, 2017). Política de Gestión •Propietario del Certificado •Uso del Certificado •Período de Validez del Certificado •Políticas de Revocaciób de Certificados Aplicativos de Gestión •Hardware Dedicado vs Virtual •Sistema Operativo •Soluciones de Software a usar. Fuente: Elaboración propia Fuente: Elaboración propia 23 2.3.4. Firma Digital “La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma digital. El software de firma digital debe además efectuar varias validaciones, entre las cuales se pueden mencionar: • Vigencia del certificado digital del firmante, • Revocación del certificado digital del firmante (puede ser por OCSP o CRL), • Inclusión de sello de tiempo. La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. Este tipo de operaciones no están pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior. “(Universidad Politécnica de Valencia, párr.4). 2.3.5. Firma electrónica “Una firma electrónica es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje. La firma electrónica no implica asegurar la confidencialidad del mensaje; un documento firmado electrónicamente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente. La firma electrónica es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas electrónicas, y existen 24 documentos normativos que respaldan el valor legal que dichas firmas poseen. “(Portal Electrónico de la Unidad de Firma Electrónica, párr.13). 2.3.5.1. ¿Cómo Funciona la firma electrónica? Según el Portal Electrónico de la Unidad de Firma Electrónica2 el proceso de firma electrónica consta de dos etapas, la primera de ellas es el proceso para generar la firma electrónica, ya se sabe que una persona tiene un par de llaves, una pública y una privada. El emisor genera un documento, el que desea enviar firmado, dicho documento es procesado por una función hash. Una función hash “es un algoritmo matemático que transforma cualquier bloque arbitrario de datos en una nueva serie de caracteres con una longitud fija. Independientemente de la longitud de los datos de entrada, el valor hash de salida tendrá siempre la misma longitud.” (Blog Oficial de Kaspersky, párr.1). El resultado de una función hash se conoce como digesto. Una vez el documento ha sido procesado a través de una función y ya fue obtenido su digesto, lo que se debe hacer es cifrarlo utilizando la llave privada del emisor, para obtener así la firma electrónica, la cual se agrega al documento y se envían al receptor. 2 (Portal Electrónico de la Unidad de Firma Electrónica) 25 Figura 2-5 Proceso de Generación de Firma Electrónica La segunda etapa del proceso consiste en la verificación de la firma por parte del receptor, para necesita tener el certificado digital válido del emisor ya que en él se encuentra la llave pública del mismo. Una vez el receptor tiene el documento firmado debe separarlo, es decir obtener el documento original de la firma, con el documento original lo que debe hacer procesarlo a través de una función hash para obtener su digesto y la firma descifrarla utilizando la llave pública de emisor, misma que se encuentra en el certificado. Al descifrar la firma lo que se obtiene es el digesto generado por el emisor del documento original que él envió, ahora deben compararse ambos digestos, el que venía con la firma del emisor y el que obtuvo el receptor del documento, si ambos son iguales entonces la firma es válida y quiere decir que el documento no fue alterado, que el mismo que fue enviado. Fuente: Elaboración propia 26 Figura 2-6 Proceso de Verificación de Firma Electrónica 2.3.5.2. Ventajas de la firma electrónica Dentro de las ventajas del uso de la firma electrónica que se pueden determinar a través de la Ley3 están: • Regular el quehacer electrónico. • Modernizar el comercio. • Proteger a los usuarios. • Crear o generar competitividad. • Facilitar tramites. • Promover el uso de comercio electrónico. 3 (Ley de Firma Electrónica, 2015) Fuente: Elaboración propia 27 METODOLOGÍA 3.1. DISEÑO DE LA INVESTIGACIÓN. Dado que en El Salvador la implementación de la firma electrónica se encuentra aún en sus primeros pasos, esta investigación es de tipo mixta es decir, es una combinación de investigación cualitativa y cuantitativa, la parte cuantitativa, para poder determinar los niveles de impacto en los procesos de implementación de firma electrónica, mientras que lo cualitativo está dado por lo que se encuentra dictaminado en el marco legal, así como también los funcionamientos de los procesos para firma electrónica y los procesos internos de la cooperativa. Se contará con información documental así como también trabajo de campo a través de la observación de los procesos o de la situación actual de COMÉDICA. La recopilación de información para esta investigación está determinada primero por el análisis de contenido tanto de la Ley de Firma Electrónica, el Reglamento de la misma, así como también el proceso de firma electrónica generalizado y como éste debe ser ajustado según lo que se menciona en la Ley. Una vez realizado el análisis de contenido se identificaron las áreas que se van a ver mayormente impactadas cuando entre en funcionamiento la Ley de Firma Electrónica para COMÉDICA para entrevistar a uno o dos representantes de cada una de ellas. 3.2. UNIDADES DE ANÁLISIS Y SUJETOS DE ESTUDIO Los sujetos de estudio se pueden dividir en tres grandes grupos que son el marco legal, COMÉDICA y el proceso de firma electrónica, para cada uno de los grupos se cuenta con diferentes unidades de análisis. 3.2.1. Marco Legal Dentro del marco legal las unidades de análisis que se lograron determinar fueron: • Ley de Firma Electrónica. 28 • Reglamento de Ley de Firma Electrónica. • Normativa de bancos cooperativos y sociedades de ahorro y crédito. • Superintendencia del Sistema Financiero (como regidor de varios de los procesos de bancos cooperativos). 3.2.2. COMÉDICA de R.L. Se debe de analizar internamente la situación y/o procesos actuales de la cooperativa, por lo cual dentro de la misma se determinaron los siguientes departamentos como los principales involucrados en el proceso: • Gerencia y Departamento de TI. • Gerencia y Departamento de Operaciones y Agencias. • Departamento Jurídico. 3.2.3. Proceso de Firma Electrónica Como el resultado de esta investigación es generar una propuesta de implementación de firma electrónica para bancos cooperativos, partiendo de la situación actual de COMÉDICA, es importante tener como unidad de análisis el proceso de firma electrónica, sin embargo ésta unidad debe combinarse un poco con el marco legal, ya que una cosa es cómo funciona la firma electrónica en general, y como ésta debe ajustarse lo que la Ley indica, ya que ningún proceso/procedimiento debe estar sobre lo establecido en el marco legal y regulatorio de cada país. 3.3. VARIABLES DE LA INVESTIGACIÓN Una vez identificadas las unidades de análisis para cada una de ellas se identificaron algunas variables. 29 Figura 3-1 Variables extraídas de la Ley de Firma Electrónica y el Reglamento de esta. Fuente: Elaboración propia 3.3.1. Variables Marco Legal. En la figura 3-1 se presentan las variables que se analizaron de la Ley de Firma Electrónica y el Reglamento de esta. Adicionalmente dentro de la sección de marco legal se analizó la Normativa de Bancos Cooperativos y Sociedades de Ahorro y Crédito, así como también la normativa de Superintendencia del Sistema Financiero (SSF), específicamente en el área de auditorías, las variables de encuentran reflejadas en la figura 3-2. Conceptos y partes involucradas en el proceso de firma electrónica. •Es necesario conocer los conceptos y partes involucradas segun la Ley vigente en El Salvador ya que el proceso de firma electronica que se implemente se debe ajustar a lo que ahi se indica. Funciones y obligaciones de cada parte involucrada •Se debe conocer las responsabilidades que delega le Ley sobre cada una de las partes que se ven inmersas en el proceso. Normas y reglamentos técnicos aplicables a cada proceso y parte involucrada. •Cada una de las partes involucradas en el proceso debe ser consciente de las cosas que está legalmente obligado a cumplir por las normativas que se encuentran definidas para el proceso. Normas establecidas por la Ley en cuanto procesos para la firma electrónica. •Si bien es cierto existe un proceso general de firma electrónica se debe conocer a lo que debe restringirse en El Salvador según la Ley para que este sea adaptado a las exigencias que se indican en la Ley. 30 Figura 3-2 Variables según la normativa de bancos cooperativos 3.3.2. Variables COMÉDICA de R.L. Las variables identificadas para poder determinar tanto la situación actual y las posibles implicaciones con la implementación de la firma electrónica para COMÉDICA son: Figura 3-3 Variables COMÉDICA de R.L 3.3.3. Variables del Proceso de Firma Electrónica. Para definir las variables se dividieron dos etapas, en la primera de ellas se determinó cómo funciona el proceso de firma electrónica para que posterior a eso se le hicieran los ajustes Normas que puedan incidir en el proceso de firma electrónica. •Los bancos cooperativos tienen sus propios reglamentos y procedimientos, debe analizarse como impacta la firma electrónica en éstos. Procesos en los que interviene la Superintendencia del Sistema financiero. •Es importante tener claros los procesos que audita o en los que interviene la SSF para los bancos cooperativos, ya que la implementación de la firma tiene respetar lo regido por la SSF. Fuente: Elaboración propia Infraestructura actual con la que cuenta COMEDICA. •Es importante conocer el estado actual de la infraestructura del departamento de TI para ver si ésta se encuentra preparada para la implementación de la firma electrónica o si debe ampliarse. Aplicación de la firma electronica dentro de los procesos de comedica. •Se debe conocer que tanto impacto tiene legalmente para COMEDICA el cambio de firma autografa por firma electrónica. Marco legal de la firma electronica. •Cabe destacar que el departamento jurídico debe ser de los que deben conocer mayormente lo que la ley menciona y sus implicaciones en algún/algunos procesos internos de COMEDICA. Fuente: Elaboración propia 31 respectivos al proceso, adaptándose a la Ley vigente en el país, como a los lineamientos establecidos por la SSF. Figura 3-4 Variables del Proceso de Firma Electrónica 3.4. POBLACIÓN Y MUESTRA. Dentro de COMÉDICA se identificaron tres principales departamentos para poder determinar las realizar análisis de la situación actual y posibles implicaciones con la puesta en marcha de la firma electrónica, dichas áreas son: • Gerencia y Departamentos de Tecnología de la Información (TI). • Gerencia y Departamentos de Operaciones y Agencias. • Departamento Jurídico. Elementos involucrados en el flujo se firma electrónica. •Es necesario esclarecer qué o quiénes son las partes que se ven involucradas para la firma electrónica. Procesos involucrados en el flujo se firma electrónica. •En el proceso de firma electrónica es indispensable conocer los mini procesos o pasos que se requieren para la generación de la misma. Lineamientos/Descri pción de procesos, datos y documentos. •La firma electrónica debe ajustarse a los lineamientos y/o procedimientos tal y como se indican en la Ley de Firma Electrónica ya que debe apegarse a ella. Matriz de los procesos en los que interviene la SSF y su implicación en el proceso de firma electrónica. •Para tratar de medir el nivel de impacto de la firma electrónica también debe considerarse los procesos que sos auditados por la SSF o los procesos para que deben cumplirse los lineamientos definidos por dicha entidad. Normativas en cuanto al almacenamiento de las firmas y demas reglas a seguir para la aplicación. •Es importante conocer las medidas legales de almacenamiento de la información de la información ya que es imperante que se cumpla con la disponiblidad, confidencialidad e integridad de la misma. Fuente: Elaboración propia 32 De los departamentos mencionados anteriormente se seleccionó una persona de cada uno exceptuando el departamento jurídico donde se contó con la participación de dos personas. 3.5. INSTRUMENTOS A continuación, se presenta cada variable con los instrumentos que se obtuvieron de cada una de ellas. Conceptos y partes involucradas en el proceso de firma electrónica. •Listado de conceptos y partes involucradas según se describen en la ley. •Listado de conceptos y partes involucradas según se describen en el reglamento. Funciones y obligaciones de cada parte involucrada. •Listado de funciones, obligaciones y derechos de las partes involucradas. Normas y reglamentos técnicos aplicables a cada proceso y parte involucrada. •Listado de requisitos dictados para cada proceso y parte involucrada. Normas establecidas por la Ley en cuanto procesos para la firma electrónica. •Listado de artículos en las que se describe la normativa a seguir. Normas que puedan incidir en el proceso de firma electrónica •Listado de normas y los artículos que tengan incidencias. Procesos en los que interviene la Superintendencia del Sistema financiero •Matriz de los procesos en los que interviene la super y su implicación en el proceso de firma electrónica. (Ver Anexo A) Infraestructura actual con la que cuenta COMEDICA. •Inventario de Hardware y capacidades de los mismos, así como también su ubicación física. (Ver Anexo B) •Guión de la entrevista que ayude a complementar lo generado por la observación. Aplicación de la firma electronica dentro de los procesos de COMEDICA. •Lectura de los procesos o transacciones principales para determinar el grado de impacto de la introduccion de la firma electrónica. Marco legal de la firma electronica. •Guión de la entrevista que ayude a complementar lo generado por la observación. 33 Figura 3-5 Instrumentos obtenidos de cada variable. 3.6. PROCEDIMIENTOS Los procedimientos que se utilizaron para la recopilación de información, así como también para la preparación de los instrumentos son dos el análisis de contenido y las entrevistas. 3.6.1. Análisis de Contenido. Toda la información que tiene que ver con marco legal y regulatorio, así como los procesos de firma electrónica se llevaron a cabo con el análisis de contenido, el cual prácticamente fue leer las Ley, reglamentos, normativas, para poder a través de la lectura de las mismas identificar las partes involucradas, cómo se definen los procesos en los mismos, etc. Para la parte de la definición del proceso de firma general, fue a través de la lectura de la definición de firma electrónica y el procedimiento para llevarla a cabo, de igual manera se tuvo que leer contenido para aclarar algunos conceptos un tanto criptográficos para poder lograr la compresión general del proceso de firma electrónica. Elementos involucrados en el flujo se firma electrónica. •Listado de implementos para poder generar una firma electrónica. Procesos involucrados en el flujo se firma electrónica. •Diagrama con el proceso de firma electrónica en un contexto general. Lineamientos/Descripción de procesos, datos y documentos. •Diagrama con el proceso de firma electrónico que se debería seguir en El Salvador ajustado de acuerdo a la Ley. Matriz de los procesos en los que interviene la SSF y su implicación en el proceso de firma electrónica. •Diagrama con el proceso de firma electrónico válido en El Salvador ajustado a requisitos según las normativas de bancos cooperativos y SSF. Normativas en cuanto al almacenamiento de las firmas y demas reglas a seguir para la aplicación. •Listado de reglas a cumplir en los diferentes procesos de la firma que aplicarian a COMEDICA. Fuente: Elaboración propia 34 3.6.2. Entrevistas. Para poder conocer la situación actual de COMÉDICA, se entrevistó a dos personas del departamento jurídico, con dichas entrevistas lo que se pretendía era conocer el nivel de información que tiene dicho departamento sobre la Ley de Firma Electrónica, así como también si se tiene alguna idea del nivel de impacto que la puesta en marcha de la firma electrónica tendría para los efectos legales de los procesos de COMÉDICA. Hubo una entrevista a una persona del área de auditoría de la SSF esto con el propósito de conocer los procesos que son auditados o supervisados por dicha entidad y poder determinar un nivel impacto al cambiar la firma autógrafa por la firma electrónica. Y por último una entrevista al departamento de TI cuyo propósito fue determinar si la infraestructura de COMÉDICA está lista para soportar todo en almacenamiento digital, cumpliendo lo indicando por la Ley, así como también el nivel de impacto en el software que es utilizado por la organización como por ejemplo que tanto esfuerzo requiere ajustarlo a esta nueva exigencia. 35 RESULTADOS Para poder cumplir con el objetivo de “Desarrollar una guía de implementación de firma electrónica en El Salvador para sociedades de ahorro y crédito, utilizando como base la situación actual de la Asociación Cooperativa de Ahorro y Crédito del Colegio Médico de El Salvador (COMEDICA DE R.L)”, se plantearon tres objetivos específicos; con el fin de lograr cada uno de estos se identificaron unidades de análisis o sujetos de estudio, de los cuales se derivaron variables que ayudaran al cumplimiento de los objetivos específicos. 4.1. RESULTADOS DEL OBJETIVO ESPECÍFICO 1 OE14: Identificar las regulaciones descritas en la Ley de Firma Electrónica que son aplicables al rubro de los bancos cooperativos y sociedades de ahorro y crédito de El Salvador y analizar el impacto que estas causarían en las metodologías, procedimientos y normativas internas utilizados para la realización de operaciones. Las unidades de análisis que se estudiaron para este objetivo son la Ley de Firma Electrónica, su correspondiente reglamento, la normativa de bancos cooperativos y sociedades de ahorro y crédito y como sujeto de estudio el área de auditoría de la SSF. Unidad de Análisis/Sujeto de Estudio Variable Resultado Ley de Firma Electrónica Conceptos y partes involucradas en el proceso de firma electrónica Conceptos básicos para comprender el proceso de firma electrónica, partes interesadas o participantes su descripción, funciones y obligaciones, los cuales se Normas establecidas por la Ley en cuanto procesos para la firma electrónica. 4 Objetivo Específico 1 36 Reglamento de la Ley de Firma Electrónica Funciones y obligaciones de cada parte involucrada. pueden encontrar debidamente referenciados en el marco teórico (capítulo 2) Normas y reglamentos técnicos aplicables a cada proceso y parte involucrada Normativa de bancos cooperativos y sociedades de ahorro y crédito de la SSF. Normas que puedan incidir en el proceso de firma electrónica Matriz de procesos en los que se involucra a la SSF (Anexo A) Procesos en los que interviene la SSF Tabla 4-1 Resultados por unidad de análisis o sujeto de estudio del objetivo específico 1 Adicionalmente, para el área de auditoria de la SSF se entrevistó a una persona (Anexo D) la cual comentó que por el momento el proyecto de implementación de firma electrónica a nivel de país se encuentra en una etapa bastante prematura ya que únicamente se cuenta con el marco legal, aún no se ha capacitado a todas entidades que se verán involucradas en proceso ni se han determinado quienes serán los ejecutores de la misma. 4.2. RESULTADOS DEL OBJETIVO ESPECÍFICO 2 OE25: Utilizar la situación actual de COMEDICA DE R.L para describir el contexto general del resto de bancos cooperativos y sociedades de ahorro y crédito de El Salvador, y de esta manera generar los requerimientos de hardware y software mínimos para la correcta implementación de firma electrónica. Para el segundo objetivo específico se utilizó como sujeto de estudio departamentos internos de la cooperativa, dichos departamentos son el de TI, jurídico y el de operaciones y agencias. 5 Objetivo Específico 2 37 Sujeto de Estudio Variable Resultado Departamento de TI Infraestructura actual con la que cuenta COMEDICA Tener una idea de la situación actual de los sistemas para el caso particular de COMEDICA, para determinar las capacidades de hardware y software, para a partir de ahí basar la propuesta Departamento de Operaciones y Agencias Gerencia y Departamento de Operaciones y agencias El nivel de impacto de la implementación de firma electrónica. Departamento Jurídico Departamento Jurídico Si hay conocimiento sobre la Ley de Firma Electrónica, sin embargo es a un nivel un tanto superficial. Tabla 4-2 Resultados por sujeto de estudio del objetivo específico 2 Para los departamentos de TI y jurídico se realizaron entrevistas, de las cuales adicionalmente se obtuvo que: • Departamento de TI (Anexo C) o Para la implementación de la firma electrónica no es necesario ampliar las capacidades de los servidores puesto que ya cuenta con una infraestructura lo suficientemente robusta para soportarlo, sin embargo para el momento en que se lleve a cabo la implementación se requerirá capacitación para el personal del departamento de tal forma que conozcan los protocolos/procedimientos criptográficos que se ven involucrados así como también sobre el marco legal de 38 la firma electrónica lo cual implicaría un nivel de impacto mediamente alto o alto para su implementación en la entidad. • Departamento Jurídico (Anexo B) o También se mencionó la necesidad de capacitaciones que ayuden a profundizar y concientizar sobre el contenido de la Ley, puesto que tienen conocimiento de la misma a nivel superficial, además se debe evaluar los beneficios que aportaría. Cabe destacar que es necesario revisar el estado actual de sistemas que son utilizados por la cooperativa y procesos operativos, de igual manera consideran necesario realizar un estudio entre los clientes para determinar el grado de aceptación que estos tendrían por el cambio de firma autógrafa a electrónica. Mientras que para el departamento de Operaciones y Agencias se optó por realizar un análisis de contenido sobre el mapa de procesos de la cooperativa, con lo cual se pudo determinar que el nivel de impacto es bastante alto, ya que hay varios documentos que para ser válidos actualmente requieren de una firma autógrafa del asociado, de manera que si alguno de estos documentos no está firmado detiene el proceso y los que de dependen de este. 4.3. RESULTADOS DEL OBJETIVO ESPECÍFICO 3 OE36: describir el proceso de generación de firma electrónica y su posible funcionamiento para los bancos cooperativos y sociedades de ahorro y crédito de El Salvador. Finalmente para el tercer objetivo las unidades de análisis consideradas fueron el proceso de forma general y técnico de la firma electrónica, la Ley de Firma Electrónica, su respectivo reglamento y la normativa de bancos cooperativos y sociedades de ahorro y crédito. 6 Objetivo Específico 3 39 Unidad de Análisis Variable Resultado Proceso de Firma Electrónica Elementos involucrados en el flujo se firma electrónica. Diagramas con el proceso de firma electrónico válido en El Salvador ajustado al marco legal vigente y requisitos según las normativas de bancos cooperativos los cuales se encuentran en la figura 2-5 y 2-6. Procesos involucrados en el flujo se firma electrónica. Ley de Firma Electrónica y su reglamento Lineamientos/descripción de procesos, datos y documentos Normativas en cuanto al almacenamiento de las firmas y demás reglas a seguir para la aplicación Normativa de bancos cooperativos y sociedades de ahorro y crédito de la SSF Matriz de los procesos en los que interviene la SSF (Anexo A). Tabla 4-3 Resultados por unidad de análisis del objetivo específico 3 Es importante mencionar, que el proceso de firma electrónica se divide en dos etapas: la generación de la firma y la verificación de la misma, las cuales no se ven modificadas por la ley, su reglamento y las normativas de bancos cooperativos puesto que la descripción del proceso técnico no se sale de los lineamientos establecidos por dichos documentos legales. 40 PROPUESTA La implementación de la firma electrónica para bancos cooperativos y sociedades de ahorro y crédito basados en la situación de COMÉDICA, debe ser tratado como un proyecto institucional y por lo tanto, tomarse el tiempo necesario para llevarlo a cabo, no puede ser incorporado radicalmente de un día a otro pues se requiere que los departamentos involucrados (ya sea operativos o de apoyo) identifiquen el grado de impacto que esto conlleva. Lo anterior tiene como objetivo generar los insumos necesarios para que la junta directiva tome las decisiones correctas y basados en la realidad de la cooperativa, así como también tomar en cuenta que todo cambio en el sistema y en los procesos requiere de capacitaciones, tanto para los empleados como para los clientes y/o partes interesadas de la entidad. 5.1. PROCESOS PARA LA IMPLEMENTACIÓN DE FIRMA ELECTRÓNICA. En la siguiente figura se pueden observar los procesos que deben llevarse a cabo para la implementación de la firma electrónica. Figura 5-1 Procesos a gran escala para la implementación de firma electrónica Estudio Legal de las Implicaciones de la firma electrónica. •Departamento Jurídico. Analizar los procesos que se ven afectados por el cambio de firma autógrafa a electrónica. Hacer un estudio para determinar el software que se va a utilizar para esta nueva exigencia. •Departamento de TI Planificar campañas de divulgación y capacitación para los asociados. •Departamento Atencion al Asociado. Capacitar al personal que será el encargado de dar el soporte a las consultas de los asociados. Fuente: Elaboración propia 41 5.1.1. Departamento Jurídico Como primer paso para la implementación de la firma electrónica, el departamento jurídico debe comenzar por analizar a profundidad el contenido de la Ley de Firma Electrónica, así como su reglamento, de tal manera que se pueda determinar el actuar jurídico correcto por el cual debe optar la entidad, y ver como se ve involucrada la firma electrónica con otras leyes o bien cómo afectan los procesos legales que son llevados a cabo actualmente. Figura 5-2 Análisis de Ley de Firma Electrónica - Departamento Jurídico Posterior a la revisión exhaustiva de la ley, se deben de analizar uno a uno los principales procesos de la entidad desde el enfoque de su marco de acción jurídico, para poder determinar en cuáles de ellos se sustituirá la firma autógrafa por la electrónica, y en cuál de ellos puede ser necesario que los asociados/clientes sigan utilizando su firma autógrafa. Esta actividad de preferencia debe ser realizada en conjunto con el departamento de atención al asociado, ya que son ellos los que mejor conocen toda la operatividad actual que se realiza con los asociados. Figura 5-3 Departamentos que analizaran los procesos legales de COMÉDICA. 1 Analizar la Ley de Firma Electrónica 2 Analizar el Reglamento de la Ley de Firma Electrónica 3 Determinar las modificaciones a los procesos legales de la cooperativa. Fuente: Elaboración propia Procesos legales Departamento Jurídico Departamento Atencion al Asociado Fuente: Elaboración propia 42 5.1.2. Departamento de TI. Una vez que el departamento jurídico y de atención al asociado, determinen las modificaciones a los procesos y estos sean avalados por la junta directiva de la cooperativa, se deben presentar los requerimientos del software y hardware necesarios para la correcta implementación y uso de esta nueva tecnología. El departamento de TI debe ser el encargado de recopilar y registrar dichos requerimientos para poder solventarlos a la brevedad posible. ¿Qué debe hacer el departamento de TI con estos requerimientos? Primero que nada, debe comenzar por analizar el nivel de impacto que estos implican, de tal forma que puedan determinar por cuál de las opciones se van a inclinar, lo cual debe ser debidamente avalado por la junta directiva. Las opciones que el departamento de TI debe considerar son: desarrollar el software, es decir utilizar su propio software hecho a la medida de las necesidades y en casa, o bien, comprar un software de terceros a alguna empresa que ya tenga experiencia con este tema. Software Desarrollado Si el software va a ser desarrollado por la cooperativa, el primer paso debe ser definir (si es que no lo está) con los departamentos a cargo de cada proceso clave de la cooperativa, cuál es la información más importante almacenada (la más sensible), es decir la que se debe y desea proteger prioritariamente, la cual debería ser parte del certificado del asociado, permitiendo realizar de forma adecuada y exitosa el procedimiento de verificación de firma. De igual forma debe evaluarse la forma de almacenamiento del certificado digital de cada uno de los asociados, de manera que se determine si se tendrá un servidor dedicado para esto utilizando 43 algún tipo de mecanismo de cifrado para su protección, o bien almacenado como un atributo más a una tabla siempre con un mecanismo para su correcto y seguro resguardo. El Project Manager o el Gerente del Departamento de TI debe realizar la estimación de tiempo para el desarrollo de esta nueva necesidad, contemplando tanto los recursos materiales como humanos de los que dispone y los requeridos para llevar a cabo el proyecto, contemplando también que es necesario impartir capacitaciones al personal de las distintas áreas de la entidad, las cuales deberán abarcar tanto el marco legal que ampara la firma electrónica como las nuevas tecnologías que permitirán su correcta utilización dentro de la operatividad normal. Es importante mencionar que dichas capacitaciones no son solo para las áreas operativas y administrativas, sino también para el departamento de TI, pues como desarrolladores de software deben ser conscientes que algún tipo de error de desarrollo puede involucrar procesos legales costosos para la entidad. Para la estimación de tiempo se deben tener en cuenta que el software debe permitir la incorporación de: • El uso de funciones picadillo (hash). • Métodos criptográficos que utilicen llaves públicas y privadas. En conjunto con esto, es importante que se analice la compatibilidad de los sistemas actuales utilizados dentro de la entidad en cuanto a la incorporación de estas nuevas herramientas para firma electrónica, verificando el grado de dificultad que se presentaría a la hora de implementarlas. En el caso particular de COMÉDICA, su principal punto de énfasis a la hora de realizar el análisis de requerimientos, deben ser los referentes al software pues la capacidad de almacenamiento de la información no es un problema dada la clase de servidores con los que se cuenta. 44 En resumen, el departamento de TI en el caso de desarrollar el Software deberá: • Conocer la Ley de Firma Electrónica. Figura 5-4 Elementos a conocer de Ley por el Departamento de TI • Análisis de Requerimientos. Figura 5-5 Análisis de Requerimientos por el Departamento de TI • Desarrollo de Software. Conocer los artículos en los que se habla del almacenamiento de la información. Adquirir el conocimiento sobre los elementos que componen una firma electrónica Fuente: Elaboración propia Análisis del software que se ve afectado. Determinar que estructuras de la base de datos necesitan ser modificadas. Investigar en qué lenguaje de programación es más factible implementar la solución y si es compatible con el que se encuentren desarrolladas las aplicaciones de la cooperativa. Determinar los métodos que se van a utilizar para las funciones picadillo y la utilización de PKI. Fuente: Elaboración propia 45 Figura 5-6 Elementos a considerar para el desarrollo de software • Capacitación al personal de la cooperativa. Figura 5-7 Capacitación por parte del Departamento de TI Software Tercerizado Si se llega a dar el caso en que desarrollar el software sea algo demasiado complejo para la cooperativa y/o requiera mucho esfuerzo, tiempos y/o recursos; debe evaluarse la opción de comprar el software a un tercero, para ello debería buscarse de preferencia en países que ya cuenten con la implementación de firma electrónica, algunos de los países en Latinoamérica que ya cuentan con la implementación son Argentina, Colombia, Uruguay, Brasil, etc. Recibir capacitación sobre funciones picadillo y utilización de PKI. Comenzar a nuevos desarrollos o ajustar los existentes para la implementación de lo necesario para la firma electrónica. Desarrollar los requerimientos entregados. Fuente: Elaboración propia Capacitar a una muestra del personal que utilizará el software para que éste grupo capacite a los demás grupos. Actualizar el sitio web, con los nuevos manuales de usuarios y/o políticas. Crear tutoriales para los usuarios de ser necesario. Fuente: Elaboración propia 46 Para esta opción es de alta importancia establecer comparativas entre el marco legal vigente del país en cuestión con el de El Salvador, de tal forma que debe buscarse una opción de software con países en los que el marco legal sea parecido al de El Salvador, así los ajustes que se necesitarían para su adaptación a la entidad serian mínimos o por lo menos no requerirían tanta dedicación. De igual forma el departamento de TI debe recibir capacitación de la empresa a la que se le compre el software, de preferencia también el código fuente o negociar un contrato de soporte en el caso que este no esté incluido en la compra del software, de tal forma que el departamento de TI esté preparado ante cualquier emergencia o incidente para poder capacitar y dar soporte a los otros departamentos que lo requieran. 5.1.3. Departamento de Atención al Asociado. El personal del departamento de TI capacitará a una parte del equipo del departamento de atención al asociado para que los capacitados sean los encargados de retransmitir el conocimiento a todos los que se verán involucrados en la utilización del nuevo software. De igual manera se debe de crear junto con el departamento correspondiente una campaña de difusión masiva para los asociados de tal manera que sean informados de los pasos que deben seguir para hacer el cambio de firma autógrafa a firma electrónica, anunciar que las plataformas y procesos van a cambiar y cuáles son los cambios que estas sufrirán. Adicionalmente se debe de hacer énfasis las ventajas de seguridad que brinda la utilización de firma electrónica, ya que suele darse la desconfianza o escepticismo principalmente por los usuarios de mayor edad, en cuanto al uso de tecnología, más para este caso tan delicado como lo es la firma autógrafa, que es un mecanismo de aceptación de acuerdo legales entre otros ámbitos. 47 CONCLUSIONES Y RECOMENDACIONES 6.1. CONCLUSIONES Las conclusiones de esta investigación se obtienen a partir de la problemática, objetivos y conclusiones generales. 6.1.1. Obtenidas de la Problemática • El Salvador es un país que ha ido avanzando tecnológicamente poco a poco, dando un gran paso al crear y aprobar la Ley de Firma electrónica, sin embargo, al no estar implementada y solo encontrarse a nivel de marco legal, se espera que este documento sirva de guía a los bancos cooperativos y sociedades de ahorro para ese momento, tomando en cuenta que algunas normativas de la SSF podrían cambiar. 6.1.2. Obtenidas de los Objetivos • La ley describe de una forma bastante clara los conceptos y entidades que intervienen en el proceso de firma electrónica, así como también los lineamientos que debe seguir cada uno de ellos para que la firma tenga validez, por lo que para este caso no fue necesario hacer ajustes al proceso técnico, sin embargo es importante mencionar que ningún proceso y/o normativa técnica debe estar sobre las leyes de un país. • Si bien es cierto el sector jurídico esta informado del contenido de la ley, es decir, saben que existe y han leído su contenido, pero como aún no ha sido puesta en marcha se hace notar que debe haber una mayor profundización y análisis sobre la misma de manera que esté claro el proceder y actuar legal correcto para el cumplimiento de la ley. • Los departamentos jurídicos, TI y el de operaciones y atención al asociado deben trabajar conjuntamente, apoyarse y de ser posible estar involucrados en el levantamiento de 48 requerimientos del nuevo software ya que, como conocedores de su área, pueden realizar la actividad de tal forma que el camino de la implementación se torne un tanto menos complejo por la claridad en los requerimientos. Estos a su vez deben ser capaces de determinar si necesitan apoyo de más áreas dentro de la entidad, con el fin de llevar a cabo su implementación de la mejor manera. • Como es conocido uno de los eslabones más débiles y complejos en la utilización de un sistema es el usuario y, teniendo en cuenta que pueden haber asociados de edad avanzada, lo cual en la mayoría de las ocasiones se traduce en resistencia a la sustitución de sistemas por procesos manuales; se debe de crear campañas de difusión, concientización y utilización de lo que sea el nuevo software de tal forma que no resulte en una experiencia chocante para el usuario. • Es necesario un estudio profundo de los sistemas actuales y del uso que se le desea dar a la firma electrónica dentro de la entidad, de esta manera podremos determinar si el software a utilizar será desarrollo local o tercerizado, y poder estimar la cantidad de recursos que se necesitaran para elaborar un adecuado cronograma de actividades. 6.1.3. Generales • A nivel de país aún no se está preparado para que comience a funcionar el uso de la firma electrónica, puesto que todavía se encuentran pendientes algunas definiciones de autoridades, no se han realizado campañas de difusión de la misma ni como esto afectaría a los procesos que son llevados a cabo ante un abogado o notario. • En el momento que entre en funcionamiento la utilización de la firma electrónica, se deberá de seguir todo un proceso de transición, que debe tomar su tiempo, no debería de ser un cambio demasiado brusco o algo que se cuente con poco tiempo para realizarlo ya que hay varios análisis internos que cada organización debe realizar para que la implementación sea lo más eficiente y efectiva posible. 49 6.2. RECOMENDACIONES • En el momento de la implementación de la firma electrónica a nivel de país, es decir para todas las empresas o la mayoría, deberá analizarse cómo la ley de firma electrónica influye las otras leyes en las que se describen procesos notariales, es decir que el usuario tiene que firmar autógrafamente frente al notario, ya que en las cooperativas hay algunos procedimientos internos que requieren intervenciones de notarios. • Se considera como una mejor opción que el software sea desarrollado internamente, ya que este estaría basado en los procedimientos, políticas internas y lineamientos que tiene la cooperativa de tal forma se encuentre básicamente hecho a la medida de lo que esta requiera. • La incorporación de dicha tecnología debe ser implementada por un equipo totalmente dedicado al proyecto, pues de esta manera se podrá tener más tiempo para analizar correctamente todas las variables que afectan y poder enfocar correctamente los esfuerzos para una implementación debidamente planeada. 50 BIBLIOGRAFIA [1] Ley de Firma Electrónica [en línea]. Diario Oficial, San Salvador, El Salvador, 2015. Disponible en: https://www.transparencia.gob.sv/institutions/dc/documents/255011/download [2] Ley de Acceso a la Información Pública [en línea]. Diario Oficial, San Salvador, El Salvador, 2011. Disponible en: https://www.asamblea.gob.sv/sites/default/files/documents/decretos/171117_073009410_archivo _documento_legislativo.pdf [3] IBM Knowledge Center. Infraestructura de claves públicas (PKI) [en línea] [fecha consulta: 3 de septiembre 2019]. Disponible en: https://www.ibm.com/support/knowledgecenter/es/SSFKSJ_7.5.0/com.ibm.mq.sec.doc/q009900_. htm [4] SSH.COM. PKI - Public Key Infrastructure. [en línea] [fecha consulta: 3 de septiembre 2019]. Disponible en: https://www.ssh.com/pki/ [5] Universidad Politécnica de Valencia. ¿Qué es un Certificado Digital? [en línea] [fecha consulta: 3 de septiembre 2019]. Disponible en: https://www.upv.es/contenidos/CD/info/711545normalc.html [6] Certificados digitales. Center [en línea] [fecha consulta: 4 de septiembre 2019]. Disponible en: https://publib.boulder.ibm.com/tividd/td/TRM/SC23-4822-00/es_ES/HTML/user276.htm [7] Secretaria Técnica y de Planificación de la Presidencia, Firma Electrónica [en línea]. Dirección de Gobierno Electrónico. 2017. Disponible en http://www.secretariatecnica.gob.sv/wp- content/uploads/2017/07/FOROEGOB-04.Avances-Firma-Electronica-El-Salvador.pdf [8] Universidad Politécnica de Valencia. ¿Qué es una firma electrónica? [en línea] [fecha consulta: 7 de septiembre 2019] Disponible en https://www.upv.es/contenidos/CD/info/711250normalc.html [9] Portal Electrónico de la Unidad de Firma Electrónica: Preguntas [en línea] [fecha consulta: 7 de septiembre 2019]. disponible en: http://firmaelectronica.minec.gob.sv/about/faqs/ https://www.asamblea.gob.sv/sites/default/files/documents/decretos/171117_073009410_archivo_documento_legislativo.pdf https://www.asamblea.gob.sv/sites/default/files/documents/decretos/171117_073009410_archivo_documento_legislativo.pdf https://www.ibm.com/support/knowledgecenter/es/SSFKSJ_7.5.0/com.ibm.mq.sec.doc/q009900_.htm https://www.ibm.com/support/knowledgecenter/es/SSFKSJ_7.5.0/com.ibm.mq.sec.doc/q009900_.htm https://www.ssh.com/pki/ https://www.upv.es/contenidos/CD/info/711545normalc.html https://publib.boulder.ibm.com/tividd/td/TRM/SC23-4822-00/es_ES/HTML/user276.htm http://www.secretariatecnica.gob.sv/wp-content/uploads/2017/07/FOROEGOB-04.Avances-Firma-Electronica-El-Salvador.pdf http://www.secretariatecnica.gob.sv/wp-content/uploads/2017/07/FOROEGOB-04.Avances-Firma-Electronica-El-Salvador.pdf https://www.upv.es/contenidos/CD/info/711250normalc.html http://firmaelectronica.minec.gob.sv/about/faqs/ 51 [10] Blog Oficial de Kaspersky, ¿Qué Es Un Hash Y Cómo Funciona? [en línea] [fecha de consulta: 17 de octubre de 2019]. Disponible en: https://latam.kaspersky.com/blog/que-es-un-hash-y-como- funciona/2806/ https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/ https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/ A-1 ANEXOS ANEXO A - MATRIZ DE LOS PROCESOS EN LOS QUE INTERVIENE LA SSF Y SU IMPLICACIÓN EN EL PROCESO DE FIRMA ELECTRÓNICA. Matriz de los procesos en los que interviene la SSF y su implicación en el proceso de firma electrónica. N° Nombre del Proceso Descripción del Proceso Nivel de Impacto Breve descripción del impacto 1 Captación/Colocación Proceso operativo en el que se colocan productos financieros con el fin de captar fondos del cliente. Medio Se tendrán que modificar procedimientos para que el usuario utilice la firma electrónica de manera adecuada y dentro del marco legal correspondiente. 2 Seguridad de la Información Todo lo relacionado a la confidencialidad, integridad y accesibilidad de la información de asociados y clientes. Alto Esto implicaría un cambio en cuanto a las estructuras de base de datos y servidores de respaldo, capacitaciones a los técnicos, actualización de equipos y/o tecnologías en caso de ser necesario. Además se necesitaría modificar los procesos de respaldo de la información. 3 Mantenimiento de los Sistemas Informáticos Se deberán modificar front end/back end de los sistemas relacionados a autenticación del cliente para con la entidad, pues actualmente se han diseñado los sistemas para el uso de firma autógrafa, más no para la generación, almacenamiento y uso de firma electrónica dentro de los procesos de validación que se encuentran en el core Muy Alto El cambio más drástico sería la adaptación de back end y front end del core bancario y sistemas modulares externos pues actualmente se encuentran diseñados para el uso de firma autógrafa u otro tipo de validaciones de identidad para cuando los clientes realizan A-2 bancario y demás módulos a su alrededor. transacciones u operaciones con la cooperativa. B-1 ANEXO B - ENTREVISTAS DEPARTAMENTO JURÍDICO Guion de Entrevista Departamento de Jurídico • ¿Alguna vez ha escuchado hablar de la ley de firma electrónica? Si, la firma electrónica entro en vigencia como Ley de La República en abril de 2016, por medio de la cual se trata de dar valor jurídico a la firma electrónica, así como lo tiene la firma autógrafa de cada persona, teniendo la misma validez legal. - • En base a lo que conoce, ¿cómo cree que cambiaría el marco legal de la entidad para adaptarse al uso de esta? El marco legal de la entidad no cambia, somos una institución financiera la cual solamente entraría a utilizar un sistema nuevo de estame de firma, hoy ya no autógrafa si no electrónica; para lo cual debemos de tener en cuenta que COMÉDICA debe de tener las herramientas tecnológicas necesarias para este tipo de firma. - • Consideraría beneficioso para la entidad que esta aplicara firma electrónica para sus procesos internos y externos? En realidad, COMÉDICA se fortalecería para la seguridad en la identificación de cada persona por cada transacción financiera que realice con nosotros, como firma electrónica se cuenta con varios mecanismos de seguridad que le dan validez, y por medio de la cual evitaríamos fraudes. - • ¿Cree que el departamento de jurídico está listo para afrontar una posible utilización de la misma? ¿Qué le haría falta (personal, equipo, capacitaciones, etc.)? 1. Equipo, la firma electrónica debe de tener herramientas de conexión para verificación que la firma y el código sean las mismas y le pertenecen a la persona que lo está empleando, por lo tanto, COMÉDICA deberá de dotar al departamento de todo el equipo necesario para dicho trámite. - 2. Capacitar al personal para que puedan utilizar el sistema, tenga cada uno del equipo una clave y usuario para poder realizar el trámite en cada documento legal que se necesite, 3. Personal que capacite y este acompañando al departamento para la utilización del sistema al menos los primeros 3 meses de su aplicación. - • ¿Cuál cree seria la aceptación o rechazo de parte de los clientes (tanto internos como externos) ante su posible utilización como reemplazo de la firma autógrafa? Para poder utilizar la firma electrónica debemos: 1. Hacer campañas masivas de que en COMÉDICA se hará utilización de dicho mecanismo para las transacciones que se realicen. - 2. Verificar que cada uno de los clientes cuente con su código personal y firma electrónica para poder realizar los trámites. - B-2 3. Verificar que los que poseen dichos mecanismos lo hayan adquirido por medio de las empresas validadoras de dichas firmas. - 4. Tener validadores en cada sistema y computadora que permita accesar a un verificador de la firma. - Por lo antes expresado será bastante difícil que los asociados y clientes deseen utilizar firma electrónica, pues ello conlleva pago de la herramienta para utilizarla, así como también el rechazo a utilizar medios tecnológicos en especial los asociados ya mayores. - • ¿En cuanto al respaldo y validez legal de la misma, considera que en el país se cuenta con las figuras necesarias para su defensa en caso que lo requiera? La misma Ley en su artículo seis le da le validez legal que tendrá: “. - La firma electrónica simple tendrá la misma validez jurídica que la firma autógrafa. En cuanto a sus efectos jurídicos, la firma electrónica simple no tendrá validez probatoria en los mismos términos a los concedidos por esta Ley a la firma electrónica certificada; sin embargo, podrán constituir un elemento de convicción conforme a las reglas de la sana crítica.” • En base a sus conocimientos, ¿cuáles serían las etapas que considera necesarias en un proyecto de firma electrónica dentro de la entidad? 1. Contratación de un sistema, Software, etc., que permita tener una seguridad de enlace con las compañías que realizaran el trámite para que una persona natural posea firma electrónica. - 2. Validación de firmas electrónicas de cada empleado de la cooperativa. - 3. Como empresa debemos de tener un código especial para poder firmar en nombre de COMÉDICA, en el caso de los apoderados. - Guion de Entrevista Departamento de Jurídico • ¿Alguna vez ha escuchado hablar de la ley de firma electrónica? SI • En base a lo que conoce, ¿cómo cree que cambiaría el marco legal de la entidad para adaptarse al uso de esta? De momento no puede cambiar y usarse pese a que la Ley está vigente porque el Ministerio de Economía no tiene los recursos necesarios para iniciar con el cumplimiento de la ley. • Considería beneficioso para la entidad que esta aplicara firma electrónica para sus procesos internos y externos? Depende, porque si la entidad NO CUENTA con procesos actualizados y NO CUENTA con CONTROLES INTERNOS para hacer buen uso de ella, la firma electrónica lejos de aportar a la Cooperativa, la involucraría en más problemas legales. • ¿Cree que el departamento de jurídico esta listo para afrontar una posible utilización de la misma? NO EN LO ABSOLUTO ¿Qué le haría falta (personal, equipo, capacitaciones, etc)? Personal Competente y con Conocimiento Técnico de la Ley de Firma Electrónica y de Notariado, y de la Ley de Delitos Informáticos. B-3 • ¿Cuál cree seria la aceptación o rechazo de parte de los clientes (tanto internos como externos) ante su posible utilización como reemplazo de la firma autógrafa? No sé, se recomienda pasar una encuesta sobre este punto a los asociados. • ¿En cuanto al respaldo y validez legal de la misma, considera que en el país se cuenta con las figuras necesarias para su defensa en caso que lo requiera? NO PARA NADA, La Asamblea Legislativa cometió el GRAVE ERROR de aprobar la Ley de Firma Electrónica y se olvidó modificar TODAS las leyes que regulan la actuación notarial. • En base a sus conocimientos, cuáles serían las etapas que considera necesarias en un proyecto de firma electrónica dentro de la entidad? 1. Efectuar el estudio legal; 2. Revisar cuáles serían los documentos en donde se estaría sustituyendo la firma autógrafa por la firma electrónica. 3. Revisar si cambiarían los requisitos de TODOS los productos, servicios y procesos de la Cooperativa. C-1 ANEXO C – ENTREVISTA DEPARTAMENTO TI Guion de Entrevista Gerencia y Departamentos de TI • ¿Por qué periodo de tiempo se guarda la información de los clientes actualmente? o Permanentemente. • ¿Se hace alguna modificación/transformación a la información para guardarla? o La información se almacena en tecnología ASM y solamente el RDBMS sabe dónde está exactamente la data. • ¿Actualmente cuentan con algún método/algoritmo para verificar y asegurar la integridad de la información? o En nuestro caso el RDBMS Oracle se encarga de verificar y asegurar la integridad de la información. • ¿De qué forma se asegura la disponibilidad de la información? o ¿Cuentan con sitios de contingencia/alternativo? ▪ Si o ¿Cada cuánto tiempo se hacen backups? ▪ Diario/Mensual/Semanal • ¿Se protege de alguna manera la información confidencial o más importante de un asociado? o Este feature transparent data encryption lo tiene Oracle pero por el momento no lo tenemos implementado. o ¿Cuál sería el nivel de impacto en cuanto a tiempo y recursos si se necesitara implementar protección de datos a través de cifrados o la utilización de algún protocolo criptográfico? ▪ Llevaría un tiempo largo pues hay que analizar columnas y tablas de la BD a encriptar o ¿Se está preparado para lo anterior o se debería de incluir un proceso de capacitación a las partes involucradas? ▪ Totalmente, se debería de incluir un proceso de capacitación. • ¿Qué capacidades maneja el data center? o ¿Está listo para soportar todo en almacenamiento electrónico o habría que aumentar la capacidad si fuera el caso? ▪ Si actualmente contamos con servidores ODA. o ¿Hay redundancia en los servidores? ▪ Si contamos con Oracle clúster y además un servidor alterno fuera de las instalaciones D-1 ANEXO D - ENTREVISTAS AUDITOR DE LA SUPERINTENDENCIA DEL SISTEMA FINANCIERO Guion de Entrevista Auditor de la Superintendencia del sistema financiero • ¿Conoce o ha escuchado hablar de la ley de firma electrónica? Si • ¿La entidad les ha dado alguna capacitación al respecto en cuanto al impacto que esta tendrá sobre las entidades reguladas? No • ¿Se posee un borrador con los cambios a las normativas que se aplican a las entidades reguladas? No es necesario, el documento está disponible en el sitio: https://www.transparencia.gob.sv › minec › documents › download “Reglamento de la Ley de Firma Electrónica En el referido reglamento se cita que habrá un encardado de la unidad de firma electrónica, la cual ejercerá el control y la vigilancia del cumplimiento de todo lo definido en la ley y en el reglamento, así como las autorizaciones correspondientes.” • Las normativas que la Superintendencia aplica a sus entidades reguladas que es el sector financiero de El Salvador, son las generadas por el Banco Central de Reserva que es el ente que emite la regulación en materia financiera y la Superintendencia es el ente supervisor es el vigilante de que se aplique la normativa que el BCR emite. • ¿Cuál se pretende sea el uso que se le dé en el sector financiero? Interno, externo ¿otros? El Sector financiero definirá la necesidad de uso de la firma electrónica de acuerdo a los servicios y productos, no obstante, está relacionado a la capacidad probatoria que pueda existir ante una denuncia de un producto electrónico que haya desarrollado una entidad financiera. • ¿Cuáles son las normativas que se verían afectadas por la inserción de la firma electrónica dentro del sistema financiero? Como las auditorias se realizan con base a riesgo si existe algún documento que es necesario hacer uso de la firma electrónica la entidad solicita la no objeción a la Superintendencia, no obstante, podría verse afectada algunos procesos de solicitud de trámite, en la que la Superintendencia autoriza nuevos productos o servicios a las entidades financieras. • ¿Cuáles deberían ser según su criterio y experiencia, las áreas encargadas de llevar a cabo la implementación de dicho proyecto dentro de las entidades? Una unidad que reporte de forma directa a la Junta Directiva de las entidades. • ¿Cuáles son los prerrequisitos previos que se deben cumplir a nivel de país para que las entidades puedan iniciar con el proyecto para implementar firma electrónica? https://www.transparencia.gob.sv/institutions/minec/documents/127305/download https://www.transparencia.gob.sv/institutions/minec/documents/127305/download D-2 Que se creen las entidades certificadoras, y la unidad reguladora y de vigilancia de la aplicación de la ley de la firma electrónica, asignar los recursos para las unidades y su sostenibilidad en el tiempo. • ¿A qué nivel recomendaría que las cooperativas iniciaran la implementación de firma electrónica? Si el objetivo es eliminar los papeles sería una firma electrónica simple y que pueda servir de prueba ante un reclamo de un empleado y para instancias judiciales puede ser necesario acudir a las entidades certificadoras, se debe tomar en cuenta los comprobantes electrónicos para el cliente interno y externo. Pero se recomienda capacitar sobre los usos de la firma electrónica y la capacidad probatoria que pueda tener en las operaciones de cada entidad y no sobre su composición o el estándar utilizado para su creación. Para que sea aceptado por las entidades como las cooperativas.