En los despachos profesionales, donde es frecuente la gestión de documentos sensibles y la comunicación con clientes y administraciones, los certificados digitales son esenciales para asegurar que estas interacciones sean confiables, protegidas y que cumplan con la normativa vigente.
Disponer de certificado digital es prácticamente imprescindible para operar de forma eficiente y fiable, en un entorno cada vez más digitalizado.
Sin embargo, su uso correcto y seguro requiere adoptar ciertas buenas prácticas, que no sólo refuercen la protección de los datos, sino también la confianza entre clientes y el propio despacho.
A continuación, describimos algunas recomendaciones clave, para asegurar un uso óptimo de los certificados digitales en los despachos profesionales:
- Realización de Copias de Seguridad Regulares:
Una práctica esencial que a menudo se pasa por alto es la realización de copias de seguridad de los certificados digitales y sus claves privadas.
Los certificados digitales más comunes son los que se almacenan en un fichero, de extensión p12 o pfx, y que se instalan en el ordenador desde donde se quiere operar.
Como todo documento o fichero, es muy recomendable hacer una copia de seguridad del certificado digital Estas copias deben almacenarse en un lugar seguro y, preferiblemente, de manera cifrada. Y el mejor momento para realizar la copia de seguridad es cuando se genera y descarga de origen el certificado digital.
En caso de fallos técnicos, pérdida o daño de los ordenadores, las copias de seguridad garantizan que los certificados puedan ser recuperados, evitando una revocación y nueva emisión de los certificados afectados.
- Protección de las claves privadas:
Uno de los puntos más importantes al trabajar con certificados digitales es proteger correctamente las claves privadas, especialmente cuando los certificados están en formato software, almacenados en archivos de extensión p12 o pfx, y las claves se traducen a las contraseñas.
Estas claves son como la firma personal en el mundo digital, y si alguien las roba o pierde junto al correspondiente fichero, podría suplantar la identidad del titular del certificado, y comprometer la seguridad del cliente y del despacho.
Es fundamental almacenarlas en dispositivos seguros, cifrados a poder ser, y diferentes de donde se guardan los ficheros de los certificados digitales. Nunca compartirlas ni almacenarlas en equipos desprotegidos o sin control de acceso.
Para una protección óptima, los despachos pueden recurrir a un servicio especializado de custodia segura de certificados digitales como CERTISUITE. Este sistema de gestión centralizada de certificados en la nube evita que se pierdan, o se utilicen sin control, garantizando que los certificados estén siempre disponibles y seguros. Aseguramos un almacenamiento ágil, organizado y protegido, lo que permite acceder sólo a los certificados necesarios en cada momento.
- Autorización para la Custodia y el Uso de Certificados de Clientes:
Si un despacho decide almacenar y utilizar los certificados digitales de sus clientes, debe tener en cuenta que ésta no es una práctica recomendada, ya que conlleva riesgos importantes para el despacho y para el cliente. Incluso se considera contrario a la legalidad vigente.
Sin embargo, se conoce que es una práctica habitual por comodidad o necesidad. Y, si es absolutamente necesario tener y utilizar el certificado de un cliente del despacho, es obligatorio contar con una autorización explícita, firmada por el cliente, que detalle que autoriza al despacho correspondiente a utilizar y a custodiar su certificado digital.
La autorización debe describir el alcance temporal y de tramitación permitidos. Esto asegura que el cliente esté informado y acepte las condiciones de custodia y uso de su certificado, y que el despacho actúe dentro del marco legal evitando la usurpación de identidad.
- Emisión segura y legal de los certificados:
Cuando un despacho actúa como oficina de emisión de certificados digitales, siendo autoridad de registro, es muy importante garantizar un proceso de emisión seguro y ajustado a la normativa.
Para ello, es necesario asegurarse de identificar correctamente a los titulares de los certificados, verificando de manera rigurosa su identidad y recogiendo toda la documentación correspondiente de forma completa y actualizada antes de emitir el certificado.
Además, es fundamental proteger el acceso a la plataforma de emisión, utilizando únicamente las credenciales personales de los usuarios autorizados y evitando compartirlas.
También es recomendable que las credenciales estén protegidas mediante medidas de seguridad adecuadas, como contraseñas robustas y autenticación de doble factor, y que el acceso se realice exclusivamente desde dispositivos seguros.
El despacho podrá emitir de forma directa e inmediata los certificados digitales de sus clientes, y debe hacerlo siguiendo las reglas del juego establecidas, sin correr ningún riesgo para los clientes ni para el propio despacho.
- Renovación y revocación periódica de certificados:
Es muy importante que se revoque el certificado digital cuando sea necesario. En caso de sospecha de compromiso de las claves, si se ha perdido su control y se desconoce quién puede tener acceso a dichas claves, o debido a cambios en la estructura o cargos de la entidad, se debe revocar el certificado para evitar posibles accesos no autorizados.
El responsable de la revocación del certificado digital es el propio titular del mismo, pero el despacho, en su rol de asesor, muy probablemente realizará esta gestión.
Implantando y adaptando estas buenas prácticas a los procesos internos, los despachos no solo protegerán los datos de sus clientes, sino que también fortalecerán su imagen profesional, garantizando seguridad y legalidad al mismo tiempo, con transacciones confiables de acuerdo con los más altos estándares de seguridad.
