Cotizador Koneggui: 0 item(s)
Cotizador Koneggui: Vacío
- Está aquí:
-
Inicio
-
Blog ISO KG
-
Koneggui
- La Firma Electrónica en la Norma ISO 9001
La Firma Electrónica en la Norma ISO 9001
Una de las dudas que surge con frecuencia cuando se gestiona en formato electrónico la "información documentada" de nuestro sistema de calidad es cómo asegurar la autenticidad de los registros electrónicos. ¿Es necesario firmar mediante certificado digital los documentos y registros electrónicos que firmábamos a mano cuando se imprimían y archivaban en papel? ¿Existen alternativas a la firma electrónica reconocida que cumplan la ISO 9001?
Firma manuscrita y firma electrónica en la ISO 9001
La ISO 9001 nos indica tanto los documentos y registros que debemos producir como la manera de gestionar esta información documentada. Una de nuestras obligaciones es registrar quién aprueba los documentos (procedimientos, no conformidades, acciones correctivas, etc.) y los empleados a los que se ha distribuido los procedimientos, lo que se resuelve firmando los documentos y pidiendo a los empleados que firmen una lista de distribución adjunta a los mismos.
Aunque ni la versión de 2008 ni la versión actual (2015) de la ISO 9001 explicitan la obligación de firmar los documentos y los registros, esta acción es necesaria para demostrar que los documentos han sido aprobados y que los empleados están al corriente de los procedimientos. En otras palabras, la firma verifica la identidad de la persona que dice haber aprobado o leído el documento. Sin ella, no tendríamos garantías de que el documento es auténtico e íntegro y, por lo tanto, la información no sería fiable.
El mecanismo utilizado cuando esta información documentada se encuentra en formato digital es la firma electrónica. El artículo 3 de la ley 59/2003, de 19 de diciembre, de firma electrónica (LFE), define la firma electrónica como "el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante". Ésta puede ser simple, avanzada o reconocida:
¿Son válidos los tres tipos de firma o la ISO 9001 solamente permite la firma electrónica reconocida? ¿Cómo aseguramos la autenticidad de los registros electrónicos de nuestro sistema de calidad?
Cómo aseguramos la autenticidad de los registros electrónicos
Quizá te preguntes cómo podemos asegurar que el usuario es quien dice ser. Ningún sistema informático es infalible y, a pesar de establecer contraseñas seguras y renovarlas cada cierto tiempo, un tercero con los conocimientos suficientes de seguridad podría a suplantar la identidad de ese usuario del software de gestión documental. Sin embargo, este mismo impostor también podría acceder al equipo donde el empleado almacena su certificado electrónico (o interceptar su clave privada realizando un ataque de intermediario o man-in-the-middle) y firmar en su nombre, por lo que el uso de la firma electrónica reconocida tampoco previene de manera definitiva este problema.
La ISO 9001 nos indica tanto los documentos y registros que debemos producir como la manera de gestionar esta información documentada. Una de nuestras obligaciones es registrar quién aprueba los documentos (procedimientos, no conformidades, acciones correctivas, etc.) y los empleados a los que se ha distribuido los procedimientos, lo que se resuelve firmando los documentos y pidiendo a los empleados que firmen una lista de distribución adjunta a los mismos.
Aunque ni la versión de 2008 ni la versión actual (2015) de la ISO 9001 explicitan la obligación de firmar los documentos y los registros, esta acción es necesaria para demostrar que los documentos han sido aprobados y que los empleados están al corriente de los procedimientos. En otras palabras, la firma verifica la identidad de la persona que dice haber aprobado o leído el documento. Sin ella, no tendríamos garantías de que el documento es auténtico e íntegro y, por lo tanto, la información no sería fiable.
- Firma electrónica simple: Cualquier tecnología que permita identificar al firmante.
- Firma electrónica avanzada: Cualquier tecnología que permita identificar al firmante, asegurar que el documento ha sido producido o aprobado por la persona que dispone de los mecanismos para producir la firma y, por último, controlar las versiones del documento.
- Firma electrónica reconocida: Firma electrónica avanzada basada en un certificado reconocido y producida mediante una aplicación homologada por la Agencia Tributaria.
¿Son válidos los tres tipos de firma o la ISO 9001 solamente permite la firma electrónica reconocida? ¿Cómo aseguramos la autenticidad de los registros electrónicos de nuestro sistema de calidad?
La firma electrónica reconocida es la que más garantías de autenticidad ofrece, pero también es la más compleja de implementar. Para poder utilizarla en un sistema de gestión de la calidad, todos los trabajadores deberán disponer de certificado de persona física, algo muy poco habitual todavía.
Por suerte para las organizaciones en esa situación, la ISO 9001 no dice en ningún sitio que se deba adoptar la firma electrónica reconocida como método para asegurar la autenticidad de los registros electrónicos. La propia LFE establece en su artículo 3.9 que "no se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida", lo que se conoce como el principio de validez general de la firma electrónica.
El software de gestión documental, también conocido como ECM (siglas en inglés de Enterprise Content Management), cubre todos los requisitos de gestión documental establecidos por la norma internacional. Otra fortaleza de este tipo de programas es que nos proporciona un mecanismo de firma electrónica avanzada totalmente compatible con la ISO 9001. La herramienta registra el usuario que ha realizado una acción sobre un documento (por ejemplo, aprobarlo o leerlo) y el historial de las versiones del documento. Algunos programas, como es el caso del ECM libre y de código abierto OpenKM, nos permiten asociar un sello único a cada usuario para que estampe su firma manuscrita en el documento y admiten también la firma digital biométrica.Quizá te preguntes cómo podemos asegurar que el usuario es quien dice ser. Ningún sistema informático es infalible y, a pesar de establecer contraseñas seguras y renovarlas cada cierto tiempo, un tercero con los conocimientos suficientes de seguridad podría a suplantar la identidad de ese usuario del software de gestión documental. Sin embargo, este mismo impostor también podría acceder al equipo donde el empleado almacena su certificado electrónico (o interceptar su clave privada realizando un ataque de intermediario o man-in-the-middle) y firmar en su nombre, por lo que el uso de la firma electrónica reconocida tampoco previene de manera definitiva este problema.
Como norma general, los mecanismos de firma electrónica avanzada que traen las aplicaciones de gestión documental son suficientes para cumplir la ISO 9001. Ahora bien, esta norma solo identifica los requisitos que ha de reunir un sistema de gestión de calidad y son las organizaciones las que establecen los procedimientos que se van a seguir para cumplirlos. De este modo, algunas empresas pueden considerar oportuno emplear sistemas de firma electrónica avanzada. Asimismo, hay que tener en cuenta que uno de los principios de las normas ISO es la mejora continua y un auditor podría sugerirnos en un momento dado que comencemos a utilizar certificados digitales.
Fuente: NosturiKoneggui le puede ayudar a implantar Sistemas de Gestión Integrado como: ISO 9001:2015, Sistema de Seguridad y Salud Ocupacional OHSAS 18001 y Sistema de Gestión Ambiental ISO 14001. Usted puede saber el precio de una consultoría para la implantación de su sistema de calidad sin ningún compromiso Solicita un presupuesto de Consultoría Online.
Sobre el autor
Artículos relacionados
Comentarios
No hay comentarios por el momento. Se el primero en enviar un comentario.
¿En que te podemos ayudar?
Koneggui Ventas
