Firma digital de documentos PDF

Cada día es más importante garantizar mediante firma digital la autenticidad de los documentos que los profesionales sanitarios generan durante su ejercicio. Los principales motivos para esto son:

  • Muchos países ya cuentan con legislación específica y organismos reguladores que otorgan fuerza legal a la firma digital, equiparándola en muchos casos a la firma manuscrita. Puede verse un resumen de la situación actual en http://www.agendadigital.gob.ar/mejores-practicas_p84
  • La generalización del acceso a internet propicia el uso de la firma digital frente a la firma manuscrita tradicional.
  • EL expediente electrónico es una realidad en cada vez vez más centros e instituciones, lo que obliga a deshechar el uso del papel y adoptar procedimientos digitales.
  • La firma digital está basada en algoritmos matemáticos fuertes, que garantizan su fiabilidad y cuya durabilidad ha de ser mayor que los sistemas informáticos que actualmente la soportan.

Aunque existen varios procedimientos para implementar la firma electrónica digital, en HORUS nos hemos decantado por por el uso de documentos en formato PDF con firma digital incrustada, que presenta las siguientes ventajas frente a otros sistemas:

  • Facilidad de verificación: prácticamente cualquier visor tiene la capacidad de verificar las firmas digitales embebidas en los documentos PDF, incluyendo Acrobat Reader, de Adobe, la firma que desarrollo el formato PDF.
  • Estandarización: Actualmente el formato PDF es un estándar activamente mantenido por ISO, normas ISO-19005 (pdf v1.4) y posteriormente ISO-32000 (pdf v1.7)
  • Existen recomendaciones de PDF para necesidades específicas, como PDF/A para almacenamiento a largo plazo o PDF/H para documentos clínicos.
  • El hecho de que la firma electrónica esté incrustada garantiza que la firma se corresponde con el documento original.
  • Al ser PDF un formato orientado a presentación, el profesional tiene un conocimiento inequívoco de qué es lo que está firmando, por analogía con la firma manuscrita.

Por supuesto, existen otros procedimientos, como la firma de estructuras de datos en XML u otros formatos, por ejemplo HL7/CDA, o usar ficheros de firma independiente, como el propuesto por la W3C. Sin embargo, ninguna de estas alternativas ofrece las ventajas antes citadas.

Herramientas:

Las alternativas que disponemos para implementar la firma digital en una aplicación web son:

  • Lo idóneo sería utilizar procedimientos web “puros”, pero lamentablemente las APIs criptográficas que presentan los navegadores son inexistentes o se encuentran en un estadio muy primitivo de evolución. La W3C y la fundación mozilla están desarrollando el estándar DOMCrypt, aunque su elevación a recomendación W3C no está prevista hasta enero del 2015.
  • Al no existir procedimientos web puros, muchos integradores optan por desarrollar plugins de navegador por diversos métodos, ActiveX, Java, jws, npapi, etc. Sin embargo, esta solución no es perfecta porque no existe un método común para todos los navegadores existentes y porque introduce dependencias adicionales en los sistemas de los usuarios.
  • Por último, también existe la posibilidad de usar aplicaciones helper, que se asocian a un determinado tipo mime para que el navegador las abra en el momento de efectuar la firma. Ejemplos de estas son Acrobat X, jSignPdf, o XolidoSign

Referencias:

Por