El certificado digital, la firma digital y la digitalización certificada de facturas

En este artículo entraremos primero en la definición de lo que es una certificado digital, cómo se relaciona con la firma electrónica y explicaremos el papel que tienen las entidades con derecho a emitir certificados digitales, las Autoridades de Certificación.

En la segunda parte nos centraremos en elaborar cómo el certificado digital y la digitalización certificada de facturas se complementan.

Pixelware ha creado, entre otras, diversas Soluciones de Negocio para la Gestión Electrónica de los documentos que facilitan el cumplimento de las normativas que rigen la factura electrónica / facturación telemática, la digitalización certificada de facturas y permiten crear procesos integrales para la gestión de sus facturas:

El certificado digital y las Autoridades de Certificación

Un Certificado Digital es un documento digital, computarizado, mediante el cual un tercero de confianza (una “autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública. Explicaremos lo que es la clave pública más adelante.

Una Autoridad de Certificación, certificadora o certificante, llamada AC en español o Autoridad de Certificaciónpor sus siglas en inglés (Certification Authority), es una entidad de confianza, responsable de emitir y revocar los certificados digitales utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación. En adelante vamos emplear el término español de Autoridad de Certificación.

La criptografía es la ciencia de cifrar y descifrar información utilizando técnicas que hacen posible el intercambio de mensajes de manera segura que sólo pueden ser leídos por las personas a quienes van dirigidos. La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo lugar, asegurar que la información que se envía es auténtica en un doble sentido: que el remitente sea realmente quien dice ser y que el contenido del mensaje enviado, habitualmente denominado criptograma, no haya sido modificado en su tránsito.

Existen variados formatos para certificados digitales, los más comúnmente empleados se rigen por el estándar UIT-TX 509. El certificado contiene el nombre de la entidad certificada, el número de serie, la fecha de expiración y una copia de la clave pública del titular del certificado utilizada realmente en la asociación.

La Autoridad de Certificación, por sí misma o mediante la intervención de una autoridad de registro, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad.

Los certificados son documentos que recogen ciertos datos de su titular así como su clave pública y están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima, ante los terceros que confían en sus certificados, la relación entre la identidad de un usuario y su clave pública. La confianza de los usuarios en la Autoridad de Certificación es importante para el funcionamiento del servicio y justifica la filosofía de su empleo pero no existe un procedimiento normalizado para demostrar que, una Autoridad de Certificación, merece dicha confianza.

La “clave pública” y “la clave privada”

La criptografía asimétrica es el método criptográfico que usa un par de claves para el envío de mensajes. Las dos claves pertenecen a la misma persona a la que se ha enviado el mensaje. Una clave es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.
b Si el remitente usa la clave pública del destinatario para cifrar el mensaje, una vez cifrado, sólo la clave privada del destinatario podrá descifrar este mensaje, ya que es el único que la conoce. Por tanto se logra la confidencialidad del envío del mensaje, nadie salvo el destinatario puede descifrarlo.

Si el propietario del par de claves usa su clave privada para cifrar el mensaje, cualquiera puede descifrarlo utilizando su clave pública. En este caso se consigue la identificación y autenticación del remitente, ya que se sabe que sólo pudo haber sido él quien utilizó su clave privada (salvo que alguien se la hubiese podido robar).

Esta idea es el fundamento de la firma electrónica. Es la firma electrónica certificada que le da al documento su valor legal como p.e. una factura firmada electrónicamente. La Ley 59/2003 de la firma electrónica equipara, jurídicamente, la firma electrónica a la firma en papel, dotándola así de plena validez legal para las transacciones electrónicas públicas y privadas; y en el Real Decreto 1496/2003, de 28 de noviembre, se determina la posibilidad de remitir las facturas por medios electrónicos.

Si disponemos de la clave pública del certificado de la firma electrónica podemos comprobar que la factura enviada realmente viene del remitente. Además, no se puede modificar una factura firmada electrónicamente sin alterar el cifrado e invalidar la factura. Por ello, es la forma más segura de emitir y recibir facturas, sin entrar aquí en otras ventajas de la factura electrónica, como son el ahorro de gastos de gestión de la mismas y la flexibilidad que supone disponer de una factura cuya información se puede explotar de las más diversas formas en nuestros procesos de negocio.

La misión de las Autoridades de Certificación

Finalmente, las Autoridades de Certificación también se encargan de la gestión de los certificados firmados. Esto incluye las tareas de revocación de certificados que puede instar el titular del certificado o cualquier tercero con interés legítimo ante la Autoridad de Certificación por e-mail, teléfono o intervención presencial.

La lista denominada CRL (Lista de Revocación de Certificados) contiene los certificados que entran en esta categoría, por lo que es responsabilidad de la Autoridad de Certificación publicarla y actualizarla debidamente. Por otra parte, otra tarea que debe realizar una Autoridad de Certificación es la gestión asociada a la renovación de certificados por caducidad o revocación.

Si la Autoridad de Certificación emite muchos certificados, corre el riesgo de que sus CRL sean de gran tamaño, lo que hace poco práctica su descarga para los terceros que confían. Por ese motivo desarrollan mecanismos alternativos de consulta de validez de los certificados, como servidores basados en los protocolos OCSP y SCVP.

Autoridad de Certificación de personas y de servidores

Los certificados de “entidad final” a veces designan personas (y entonces se habla de “certificados cualificados”) y a veces identifican servidores web (y entonces los certificados se emplean dentro del protocolo SSL para que las comunicaciones con el servidor se protejan con un cifrado “robusto” de 128 bits).

Autoridades de Certificación Públicas y Privadas

Una Autoridad de Certificación puede ser o bien pública o bien privada. Los certificados de Autoridades de Certificación (certificados raíz) de las Autoridades de Certificaciones públicas pueden o no estar instalados en los navegadores pero son reconocidos como entidades de confianza, frecuentemente en función de la normativa del país en el que operan.

Las Autoridades de Certificaciones públicas emiten los certificados para la población en general (aunque a veces están focalizadas hacia algún colectivo en concreto) y además firman la Autoridad de Certificación de otras organizaciones.

Autoridades de Certificación en la Unión Europea.

El Artículo 11 de la Directiva 1999/93CE de firma electrónica establece que los países miembros notificarán a la Comisión y a los otros estados miembros lo siguiente:

  • Información sobre esquemas voluntarios de acreditación nacionales, incluyendo eventuales requisitos adicionales según el artículo 3(7).
  • Nombres y direcciones de los organismos nacionales responsables de la acreditación y supervisión, así como de los organismos a los que se refiere el artículo 3(4).

Pixelware ha creado, entre otras, diversas Soluciones de Negocio para la Gestión Electrónica de los documentos que facilitan el cumplimento de las normativas que rigen la factura electrónica / facturación telemática, la digitalización certificada de facturas y permiten crear procesos integrales para la gestión de sus facturas:

El certificado digital y la digitalización certificada de facturas

La necesidad de gestionar el alto número facturas y recibos asociados a la actividad comercial de una empresa, implica asumir gastos asociados a la impresión, envío y manipulación del documento, lo que lleva aparejado un gasto aproximado de 1,2 euros por factura enviada e incluso algo más por factura recibida, especialmente por las obligaciones de custodia.

Con la entrada en vigor del Real Decreto 1496/2003, de 28 de noviembre, se aprueba el Reglamento por el que se regulan las obligaciones de facturación, se fomenta la posibilidad de remitir las facturas por medios electrónicos, permitiendo un ahorro de costes muy significativo.

Igualmente, tras la publicación de la Orden EHA 962/2007 de 10 de abril cabe la posibilidad de destruir las facturas recibidas en papel si previamente se ha realizado un proceso de digitalización certificada que obtiene copias digitales firmadas electrónicamente a través de un software homologado de digitalización.

En la norma EHA/962/2007, de 10 de abril de 2007 se define Digitalización como el proceso mediante el cual, aplicando técnicas fotoeléctricas o de escáner ,se convierte una imagen contenida en un documento papel en una imagen digital codificada. A través del la digitalización certificada, las facturas se conservan en formato electrónico con plena validez fiscal y legal, con lo que los originales en papel pueden ser eliminados definitivamente.

En España, la Digitalización Certificada de facturas es el proceso que permite obtener copias digitales de las facturas con valor de original. Para cumplir los requisitos que se define en la Orden EHA/962/2007, de 10 de abril de 2007, la entidad que lleva a acabo la digitalización debe utilizar un software homologado, y hacerlo cumpliendo su “Plan de Calidad” que tiene carácter contractual. La digitalización de facturas en papel se realiza con un software homologado que utiliza un certificado digital y conserva las facturas escaneadas y ciertos metadatos (datos clave que permiten la identificación y recuperación/reconstrucción clara e inequívoca de la factura o documento) en una base de datos segura. Esta es la clave que permite destruir el papel, conservando su valor probatorio pero mejorando su almacenamiento, búsqueda, acceso y disponibilidad simultánea para más de una persona en la organización.

La normativa EHA/962/2007, de 10 de abril de 2007 establece expresamente el carácter de original del documento electrónico resultante de la digitalización de la factura. Lo cual resuelve una de las exigencias en los ámbitos de las Administraciones Públicas respecto a la obligación de conservación de originales que impone la normativa y que se exige desde la IGAE (la Intervención General de la Administración del Estado).

Digitalización certificada. De acuerdo con la Resolución de 24 de octubre de 2007 sobre procedimiento de homologación de software de digitalización, se publica la lista de los formatos estándares de uso común para la digitalización certificada de facturas recibidas en papel. Asimismo, se publica también la lista de softwares homologados para la digitalización certificada de facturas en papel.

Requisitos para la creación de documentos en formato electrónico con digitalización certificada

Los obligados tributarios pueden proceder a la digitalización certificada de las facturas, documentos sustitutivos y otros documentos de interés tributario que conserven en papel y tengan el carácter de originales. Las facturas, documentos sustitutivos y otros documentos así digitalizados permiten que el obligado tributario pueda prescindir de los originales en papel que le sirvieron de base.

Para poder llevar a cabo la conversión del documento en papel al formato electrónico, es imprescindible cumplir algunos requisitos:

  • Debe de haber una garantía de fidelidad del proceso de digitalización.
  • Para ello es imprescindible utilizar un Software de Digitalización Certificado y homologado.
  • Este software debe aportar la garantía de que se obtiene imagen fiel e íntegra del documento, firmada con firma electrónica del software de digitalización.
  • Por cada documento digitalizado se debe conservar un registro de datos con todos los campos exigibles de los libros de registros en una base de datos.
  • La Digitalización de los documentos debe almacenarse en una base de datos documental con registro de datos por cada documento y un campo de imagen binaria del documento o enlace al fichero que la contenga, con la firma electrónica de la imagen de la factura y de la base de datos.
  • El software deberá permitir un acceso completo a la base de datos y la recuperación/reconstrucción del documento certificado.

La homologación del software para la digitalización certificada

La homologación del software exige ciertos requisitos que se detallan en la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.

El proceso implica la aplicación de firmas electrónicas cualificadas o reconocidas y el uso de sistemas de fecha y hora exacta de la factura certificada, por lo que es necesario contar con un certificado electrónico apropiado.

Según el artículo 7 de la Orden EHA 962/2007 y del apartado primero de la Resolución 24 de octubre de 2007 sobre el procedimiento para la homologación de software de digitalización de facturas, listamos a continuación algunos de los formatos estándares más comunes para el uso de documentos electrónicos de digitalización certificada:

  • ISO 19005 (PDF/A)
  • PNG
  • JPEG 2000
  • Acrobat 5 (PDF 1.4) ó superior
  • TIFF 6.0 ó superior

Pixelware se encuentra en proceso de homologación de su módulo Pixelware Legal Scan, con el cual se podrá cumplir todos los requisitos legales y cerrar el ciclo de vida de las facturas en un proceso altamente automatizado y completamente controlado.

La solución Pixelware Legal Scan ha pasado el paso de revisión por una empresa especializada en auditoría deDigitalización Certificada que ha confirmado que cumple con los requisitos de la Orden EHA/962/2007, de 10 de abril de 2007, y actualmente se encuentra en tramites para solicitar la homologación ante la Agencia Tributaria de su solución de digitalización certificada de los documentos electrónicos generados o digitalizados con las soluciones de gestión de procesos de documentos específicas de Pixelware.

Pixelware ha creado, entre otras, diversas Soluciones de Negocio para la Gestión Electrónica de los documentos que facilitan el cumplimento de las normativas que rigen la factura electrónica / facturación telemática, ladigitalización certificada de facturas y permiten crear procesos integrales para la gestión de sus facturas: