Tanto las acreditaciones de sellos de tiempo como de constancias de conservación, tienen un papel muy importante en la cuarta certificación. En la revisión que se hizo a la NOM 151 en 2016 se introdujo esta nueva acreditación de digitalización de documentos con soporte en físico. ¿Cuáles son los puntos más interesantes que podemos destacar? La acreditación de documentos o digitalización de documentos con soporte físico puede ser abordada de dos formas. La primera es que tú como PSC seas Digitalizador, es decir, que tengas toda la infraestructura para poder realizar un procedimiento de digitalización de documentos, como contar con los equipos adecuados, volúmenes y demás. La segunda opción es que te puedes acreditar como un Tercero Legalmente Autorizado (TLA).

Un TLA es el Prestador de Servicios responsable de los procesos y jurídicamente asume cualquier responsabilidad que derive de los mismos

Un Digitalizador puede obtener 10 diferentes procesos de digitalización, dependiendo a lo mejor de las características de su cliente. La diferencia es que tendrá que presentar cada uno de estos diez procesos a la Secretaría de Economía para que los pueda avalar. Es recomendable que se establezca un proceso macro y que sea el que se siga para conveniencia de todos. En estos procesos hay que establecer si el proceso de digitalización se llevará a cabo en las oficinas del cliente, en las del Prestador o del TLA y delimitar las medidas de seguridad que se van a implementar. Como en todos los procesos del Prestador de Servicios, la seguridad de la información es primordial, por esta razón para los procesos de digitalización debemos establecer espacios seguros con controles de acceso, cámaras de vigilancia y seguridad robusta que nos permita evitar que haya una manipulación indebida de los documentos que se irán obteniendo. En esta certificación particular la mayor atención se enfoca en la cadena de custodia de la información. La cadena de custodia de la información se refiere a cómo es que van transitando a cada momento los documentos físicos durante todo el proceso, desde que el cliente lo entrega en sus instalaciones, hasta trasladarlo a las oficinas del PSC. Es como se irá dando trazabilidad a todo este proceso a fin de que no pueda ser alterado. Una vez que se digitaliza, los documentos son firmados hasta que un tercero logra realizar el cotejo del volumen que se establezca. Este cotejo lo tiene que hacer la persona que se acredita como profesional jurídico ante la Secretaría de Economía, que es quien va a tener que establecer si los lotes que se están digitalizando con forme a las características correctas.
Supongamos que en un lote de un millón de páginas hay una que no cumple con las condiciones, que no es legible y demás. Todo ese lote tiene que ser desechado y tiene que volverse a digitalizar nuevamente. Por eso es bien importante la función que va a jugar ahí el profesional jurídico, que es la persona encargada de verificar que se está realizando el proceso de digitalización con calidad. En este proceso encontramos un punto en común con los fedatarios, ya que ellos pudieran entrar en determinado momento a dar fe de que el proceso de digitalización se está llevando a cabo de forma adecuada, no a dar fe del contenido de los documentos porque no los van a tener 100 por ciento a la vista, sino únicamente pueden avalar que los procedimientos se estén ejecutando correctamente. Una vez que el profesional jurídico avala el cotejo es cuando se firma el documento con el certificado digital que emite la Secretaría, se le pone su sello tiempo y su constancia de conservación finalizando el proceso.
Vector de Abstracto creado por vectorjuice - www.freepik.es

En relación a la infraestructura que se solicita para el resto de los servicios para el proceso de digitalización, el elemento más relevante y común con los demás, es el uso del Hardware Security Module (HSM)

El proceso digitalización es un proceso muy específico que debe cumplir con ciertas características. El HSM es esencial para el resguardo de las llaves y evidentemente para los procesos de firma, de ahí en fuera el equipo de digitalización tendrá que cumplir con ciertas características mínimas siempre enfocado sobre todo en el tema de la seguridad física de los documentos. Una vez que realizas el proceso de digitalización, dentro del proceso de cotejo se emite una lista aleatoria con ciertos folios que son revisados y posteriormente esta lista también se firma. El proceso completo requiere que al menos se presenten tres firmas como parte de todo el proceso de digitalización. Entre las cuales se incluye la firma de cotejo del profesional jurídico y la del cliente cuando recibe a satisfacción el proceso.

 

 

Pero ¿Qué te conviene más, convertirte en un Tercero Legalmente Autorizado o un Digitalizador?

Aquí dependerá el expertise de la empresa. Si la empresa está dedicada a la digitalización de documentos y cuenta con N número de equipos que le permitan realizar los procesos por sí mismo. Sugerimos optar por el tema de Digitalizador. Por otro lado, si eres una empresa de medios digitales, como por ejemplo un Proveedor Autorizado de Certificación (PAC) o cualquiera de estas figuras que no tiene todo el expertise en temas de digitalización, pero que sin embargo está interesado, probablemente le conviene ser un TLA, un Tercero Legalmente Autorizado y asociarte con una organización que tenga el expertise para llevar a cabo procesos de digitalización. Esto podría ser una sinergia interesante en la parte de procesos. Pero en pocas palabras, se resume en la experiencia organizacional.

La interacción entre el Digitalizador y el Tercero Legalmente Autorizado se da como una sociedad de negocio de una u otra manera. El TLA pudiéramos decir que subcontrata los procesos de digitalización y los realiza quien tiene el expertise, el Digitalizador. Como responsable, el TLA pone la parte del profesional jurídico, que es quien tendrá que revisar. Es una estructura complementaria totalmente.

¿Es necesario que el TLA recurra siempre a un acreditado Digitalizador?

Un Tercero Legalmente Autorizado puede recurrir a cualquier organización que lo pueda hacer. El TLA no depende de otra organización ya acreditada como Digitalizador. Por ejemplo, la empresa Xerox tiene experiencia en digitalización. No tiene nada que ver con la Secretaría ni tiene acreditación alguna. Un TLA podría contratar a Xerox para que realice los procesos, sean grandes o pequeños. Un Tercero Legalmente Autorizado puede tener convenios con una o “N” cantidad de empresas, tomando en cuenta que los procesos que deben realizar tienen que estar acreditados.

Un TLA requiere la participación de un tercero que lleve a cabo el proceso de digitalización y un Digitalizador puede realizar el proceso completo por sí mismo.

En CEGA Security queremos ayudarte a certificarte como PSC, conoce más dando clic aquí

Si tienes alguna duda sobre la Digitalización de Documentos en Soporte Físico de conformidad con la NOM-151-SCFI-2016 no dudes en contactarnos

Asunto:

Para poder continuar es necesario que aceptes el Aviso de Privacidad

Suscríbete a nuestro boletín 

Suscríbete a nuestro boletín 

Recibe en tu correo novedades y artículos sobre ciberseguridad y HSM

You have Successfully Subscribed!