November 3, 2025

¿Qué protocolos de seguridad debe cumplir una empresa que ofrece firmas electrónicas?

Blog Details Image

En Chile, las empresas que ofrecen servicios de firma electrónica, especialmente aquellas que proveen la Firma Electrónica Avanzada (FEA), deben adherirse a un riguroso marco normativo y a estrictos protocolos de seguridad para garantizar la confianza, integridad y no repudio de las operaciones que certifican.

La regulación principal emana de la Ley N° 19.799 sobre Documentos Electrónicos, Firma Electrónica y Servicios de Certificación de dicha Firma, y su reglamento, el Decreto Supremo N° 181 del Ministerio de Economía, Fomento y Reconstrucción. Estas normativas establecen las bases legales y las directrices generales, mientras que los requisitos técnicos y de seguridad específicos son detallados por la Entidad Acreditadora, rol que desempeña la Subsecretaría de Economía y Empresas de Menor Tamaño.

Las empresas que buscan ser Prestadores de Servicios de Certificación Acreditados (PSCA), es decir, aquellas autorizadas para emitir certificados de Firma Electrónica Avanzada con el mismo valor legal que una firma manuscrita, son sometidas a un exhaustivo proceso de evaluación y deben cumplir con los siguientes protocolos de seguridad:

  • Protocolos de Seguridad Técnica y Criptográfica: El núcleo de la seguridad en la firma electrónica reside en la robustez de su infraestructura tecnológica y el uso de criptografía avanzada. Los PSCA deben demostrar Infraestructura de Clave Pública (PKI) Segura; Deben implementar y gestionar una PKI robusta para la creación, distribución, gestión y revocación de certificados digitales. Esto incluye el uso de hardware y software certificado y auditado.
  • Algoritmos Criptográficos de Estándar Internacional: Se exige el uso de algoritmos criptográficos reconocidos y considerados seguros a nivel internacional para la generación de pares de claves (pública y privada) y para la firma de los certificados.
  • Dispositivos Criptográficos Seguros (Tokens): La clave privada del firmante, en el caso de la Firma Electrónica Avanzada, debe ser almacenada en un dispositivo criptográfico seguro (como un e-token o tarjeta inteligente) que cumpla con certificaciones como FIPS 140-2 nivel 2 o superior. Esto asegura que la clave esté bajo el control exclusivo del titular.
  • Seguridad de la Red y los Sistemas: Deben contar con sistemas de detección y prevención de intrusos, firewalls, y otras medidas de ciberseguridad para proteger su red y sus servidores de accesos no autorizados y ataques maliciosos.
  • Sellado de Tiempo (Timestamping): Es obligatorio el uso de un servicio de sellado de tiempo, provisto por una autoridad de estampado de tiempo confiable, para registrar la fecha y hora exactas en que se realizó una firma, garantizando la integridad del documento en el tiempo.

Protocolos de Seguridad Física

La protección de la infraestructura física que soporta los servicios de certificación es igualmente crucial. Las exigencias incluyen:

  • Centros de Datos Seguros: Los servidores y equipos críticos deben estar alojados en centros de datos que cuenten con estrictos controles de acceso físico (sistemas biométricos, guardias de seguridad, etc.), sistemas de monitoreo por video vigilancia, y protección contra incendios y desastres naturales.
  • Control de Acceso Restringido: Solo personal autorizado puede tener acceso a las áreas sensibles donde se encuentra la infraestructura crítica. Se deben mantener registros detallados de todos los accesos.
  • Planes de Contingencia y Recuperación ante Desastres: Deben contar con planes robustos de continuidad del negocio y recuperación ante desastres, incluyendo sistemas de respaldo de energía (UPS, generadores) y réplica de datos en ubicaciones geográficamente distintas.

Protocolos de Seguridad Organizacional y Procedimental: Además de la seguridad técnica y física, los PSCA deben implementar políticas y procedimientos internos rigurosos.

  • Políticas de Seguridad de la Información: Deben tener documentada y en aplicación una política de seguridad de la información que cubra todos los aspectos de sus operaciones.
  • Roles y Responsabilidades Definidos: Se deben establecer claramente los roles y responsabilidades del personal en relación con la seguridad de la información.
  • Verificación de Identidad Rigurosa: El proceso de validación de la identidad de un solicitante de un certificado de firma electrónica es un punto crítico. La normativa exige la comparecencia personal del solicitante o un método de verificación fehaciente equivalente, autorizado por la Entidad Acreditadora.
  • Gestión Segura del Ciclo de Vida de los Certificados: Deben existir procedimientos seguros y documentados para la emisión, renovación, suspensión y revocación de los certificados. Esto incluye la publicación oportuna de los certificados revocados en un registro de acceso público.
  • Auditorías de Seguridad Periódicas: Los PSCA están sujetos a auditorías de seguridad regulares, tanto internas como externas, para verificar el cumplimiento continuo de todos los protocolos y normativas.

Requisitos Legales y Financieros: Para asegurar la responsabilidad y la confianza en el sistema, las empresas deben cumplir con:

  • Constitución Legal en Chile: Deben ser personas jurídicas constituidas y domiciliadas en Chile.
  • Garantía Financiera: Se exige la contratación de un seguro de responsabilidad civil para cubrir eventuales daños y perjuicios derivados de errores o negligencias en la prestación del servicio. El monto de esta póliza es definido por la normativa.
  • Transparencia y Publicidad: Deben mantener un registro público y de fácil acceso de los certificados emitidos y revocados, así como de sus políticas de certificación.

En resumen, una empresa que ofrece firmas electrónicas en Chile, especialmente si busca la acreditación para emitir Firma Electrónica Avanzada, debe someterse a un escrutinio exhaustivo que abarca desde la robustez de sus algoritmos criptográficos hasta la seguridad física de sus instalaciones y la rigurosidad de sus procedimientos internos. Este marco regulatorio busca asegurar que los usuarios puedan confiar plenamente en la validez y seguridad de sus transacciones digitales, equiparándolas en certeza jurídica y valor probatorio a una escritura pública.

Explora cómo GoFirmex puede adaptarse a tú negocio

Acceso portal de clientes

Reducimos en un 90% los tiempos de carga operativa.

Empieza hoy y únete a quienes ya innovaron con GoFirmex

Productos y Funciones

FESPortal Empresas GoFirmex CorpFEA Firma de PortafoliosFEA + Autorización NotarialAtención a FirmantesGestión DocumentalAPI

Recursos

AprendeCasos de ÉxitoCentro de RecursosBlogLegalidad en Chile

Soporte

Centro de soporteCentro de Confianza

Contacto

contacto@gofirmex.com

Comercial

comercial@gofirmex.com

Dirección

Av. Vitacura 2939 OF 301, Las Condes
¿Qué hacemos? ProductoImpactoTecnología y ComplianceIndustriasPreguntas FrecuentesTerminos y Condiciones