FAQs

FAQs2017-07-03T20:32:51+02:00
Identificación Digital2017-06-26T12:23:50+02:00
¿El usuario debe estar registrado?2017-06-26T12:23:55+02:00

Sí, el usuario debe estar registrado y tener el dispositivo actual habilitado en caso de usar el navegador, o bien tener un dispositivo móvil vinculado.

¿Cómo se autentica una transacción del usuario?2017-06-26T12:24:00+02:00

El sistema solicitará al usuario el permiso para realizar la transacción. En caso afirmativo se firmará con la clave privada y se validará en servidor con la pública. Si hay coincidencia, la transacción se admite.

Cual es la diferencia entre las operaciones con 1 y 2 factores de seguridad2017-06-26T12:24:05+02:00

Con un factor la operación se autoriza desde el dispositivo que dispone la clave. Con dos factores, la operación se inicia en un navegador web y se autoriza en un dispositivo móvil que el usuario debe llevar encima.

Puede autorizarse una operación sin mi permiso2017-06-26T12:24:09+02:00

No, el sistema siempre solicitará al usuario una confirmación de operación antes de usar la clave privada.

¿Que tipo de documentos de admiten?2017-06-26T12:24:14+02:00

Formato PDF

¿Puedo enviar varios documentos?2017-06-26T12:24:21+02:00

El proceso de firma puede incluir varios documentos. Todos los documentos se firmarán simultáneamente

¿La imagen de la firma es configurable?2017-06-26T12:24:25+02:00

En cada documento puede establecerse la posición de la firma manuscrita.

¿Puedo involucrar a varios firmantes?2017-06-26T12:24:30+02:00

Se pueden enviar los documentos a un grupo de firmantes. Se requerirá la firma de cada uno de ellos.

¿Cómo se envían los documentos a firmar?2017-06-26T12:24:34+02:00

Wallet ID pone los documentos a disposición de los usuarios en su sitio web o en la aplicación móvil. Los usuarios recibirán un correo electrónico con un enlace.

¿Cómo se notifica que una solicitud de firma ha finalizado?2017-06-26T12:24:38+02:00

Cuando el último de los firmantes ha firmado, o bien hay algún rechazo, el sistema notificará al peticionario.

¿Cómo se identifica al firmante y el momento de firma?2017-06-26T12:24:44+02:00

Siempre se incorpora una firma electrónica al documento realizada con el certificado Wallet ID del firmante. En firmas manuscritas se incluye además las evidencias biométricas y la imagen del grafo. En el caso de usar certificados electrónicos o DNIe, la firma se realiza con este certificado.

Wallet ID añade un sello de tiempo para dejar constancia de la fecha y hora.

¿Cómo se asegura que los documentos no se alteran?2017-06-26T12:24:48+02:00

La firma electrónica asegura que los documentos no se han modificado.

¿Un usuario puede consultar sus firmas?2017-06-26T12:24:52+02:00

Sí, en el sitio web de Wallet ID y en la aplicación móvil

¿Un usuario necesita registrarse para firmar un documento?2017-06-26T12:24:57+02:00

No, un usuario puede firmar manuscritamente.

¿Y si el documento exige confianza Avanzada o Fehaciente?2017-06-26T12:25:01+02:00

El usuario deberá validar su número de teléfono o su documento de identidad

¿En qué se diferencian los niveles de confianza en la identidad?2017-06-26T12:25:06+02:00

En los datos del usuario que ha validado Wallet ID. El correo electrónico, el teléfono, o el documento de identidad.

¿Como se valida el correo electrónico?2017-06-26T12:25:11+02:00

Con un enlace único enviado al correo.

¿Como se valida el teléfono?2017-06-26T12:25:15+02:00

Mediante el envío de un SMS u otro método a medida de autenticación fuerte. Tras la validación se generan unas nuevas claves criptográficas.

¿Como se valida el documento de identidad?2017-06-26T12:25:20+02:00

Con un certificado electrónico reconocido o en una oficina de registro conveniada donde se hace un cotejo del documento.

¿El nivel de confianza en la credencial afecta a la seguridad del sistema?2017-06-26T12:25:28+02:00

La seguridad de los niveles criptográficos es la misma. Siempre se emite un certificado electrónico. La diferencia reside en la información que se valida del usuario y que está asociada al certificado.

¿Qué tipo de firma se admite en cada nivel de confianza?2017-06-26T12:25:34+02:00

En el básico Wallet ID con firma manuscrita, en el avanzado Wallet ID con validación telefónica o llamada de voz, y en el fehaciente Certificado electrónico, DNIe, o WalletID-Trusted.

¿Qué datos se necesitan de un usuario para registrarlo?2017-06-26T12:25:40+02:00

Un usuario puede permanecer anónimo pero el nivel de confianza dependerá de los datos que WalletID ha podido verificar. El email, el teléfono o el documento de identidad. En el nivel estándar se requiere únicamente el número de teléfono para poder enviar un SMS con el código de registro.

 

¿Por qué se envía un SMS?2017-06-26T12:25:44+02:00

Una vez autenticado el usuario con sus credenciales, es necesario comprobar la identidad con un método fuerte, como es la posesión de una línea móvil.

¿Podrían usarse otros mecanismos de autenticación fuerte?2017-06-26T12:25:49+02:00

Sí, por ejemplo una tarjeta NFC, presencial, o DNI electrónico entre otros

¿Pueden habilitarse varios dispositivos?2017-06-26T12:25:53+02:00

Cada usuario puede tener múltiples dispositivos, tanto navegadores como smartphones.

¿Cuándo se requiere la autenticación fuerte?2017-06-26T12:25:58+02:00

Solo en el proceso de habilitación de un dispositivo o para renovar claves. Tras la autenticación se crea el par de claves privada/publica que se utilizarán en las autorizaciones de transacciones.

¿Puede automatizarse el registro?2017-06-26T12:26:03+02:00

Sí. La autenticación fuerte se solicitará en el momento del primer uso, pero si el usuario ya fue verificado por un medio contrastado por la entidad usuaria, no es necesario repetir el proceso.

¿Qué es la vinculación de dispositivos?2017-06-26T12:26:07+02:00

En autorizaciones de doble factor, la transacción se inicia desde un dispositivo y se autoriza desde otro. Por ejemplo un navegador web en el PC del usuario, y se autoriza desde el dispositivo móvil vinculado.

¿Se requiere tener instalado algo más además del navegador web?2017-06-26T12:26:13+02:00

Nada. La WebCryptographiApi es una especificación estándar y nativa en navegadores actuales (ver sección de navegadores soportados).

¿Qué requiere tener instalado un dispositivo móvil?2017-06-26T12:26:19+02:00

La aplicación Wallet ID o una aplicación que integre el SDK de desarrollo.

¿Puedo borrar mi clave privada?2017-06-26T12:26:42+02:00

Sí, en cualquier momento. Se puede borrar o generar una nueva.

¿Que son las claves criptográficas?2017-06-26T09:26:06+02:00

El sistema usa criptografía asimétrica para securizar las transacciones.

Usa un par de claves, una es pública y se puede entregar a cualquier persona, la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Además, los métodos criptográficos garantizan que esa pareja de claves sólo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves.

Si el remitente usa la clave privada para firmar un mensaje, el destinatario solo podrá verificar este mensaje con la clave pública. Por tanto se logra asegurar la identidad del envío del mensaje. Además si el mensaje o la firma electrónica se alteran, el resultado no será validado.

¿Dónde se generan las claves?2017-06-26T09:22:45+02:00

Siempre en el dispositivo del usuario. La clave privada no se transmite por red ni se puede extraer. La clave pública se envía al servidor para que emita un certificado electrónico.

¿Pueden extraerse las claves y usarse sin permiso del usuario?2017-06-26T09:22:52+02:00

No. Las claves se almacenan de forma segura variando la implementación si se usa WebCrypto, Android o iOS.

¿Cómo se protege el uso de la clave en un móvil?2017-06-26T09:23:13+02:00

Mediante el patrón de desbloqueo configurado o una prueba biométrica si el dispositivo lo admite. Por ejemplo la huella digital.

¿Dónde se almacenan las claves en el móvil?2017-06-26T09:23:21+02:00

En Android, las claves privadas se almacenan en el KeyStore de Android, que es un repositorio de claves privado para la aplicación y protegido por el sistema operativo.

Las claves privadas quedan securizadas por el sistema operativo, que puede incluso tener soporte en hardware. En caso de que una aplicación maliciosa o un atacante dispusiera de acceso al smartphone no podría extraerlas.

En iOS, las claves privadas se generan en el KeyChain y nunca pueden extraerse.

¿Puede un ladrón realizar transacciones si me roba el dispositivo?2017-06-26T09:23:29+02:00

Wallet ID es un segundo factor. Primero tendría que conocer las credenciales de acceso al sitio web, y en el caso de que las tuviera, además desbloquear el uso con la clave de acceso.

Es factible, pero muy difícil. Los procesos de phishing funcionan mediante el robo de credenciales y suplantación de identidad. Nunca con robo físico. Aunque todo fallara, además el propio usuario o la entidad puede revocar el uso del dispositivo con un simple click.

¿Cómo se protege el uso de la clave en un navegador?2017-06-26T09:23:46+02:00

En el caso de navegadores web, el uso de la clave puede protegerse con un PIN.

¿Donde se almacenan las claves privadas en el navegador?2017-06-26T12:27:02+02:00

El almacenamiento de claves se realiza sobre la base de datos embebida del navegador (HTML5-IndexedDB). La gestión de claves privadas la realiza la implementación de la WebCryptographyApi navegador y el contenido queda oculto tanto para el desarrollador como para posibles atacantes. Ni siquiera el servicio Wallet ID tiene acceso a las claves.

¿Puede utilizarse mi clave privada en otro sitio web?2017-06-26T09:23:53+02:00

Las claves privadas se generan para cada sitio. Un sitio web no tiene acceso a los demás. Es el propio navegador el que limita el acceso.

¿Puede un sitio web saber si dispongo de una clave privada válida?2017-06-26T09:24:02+02:00

Un sitio web puede consultar si se dispone de una clave privada, pero no podrá saber si es válida hasta que el usuario firme una transacción y se compruebe si es válida.

¿Puede deshabilitarse un dispositivo ante un problema de seguridad?2017-06-26T09:24:10+02:00

Las herramienta de administración permite revocar el uso de una clave pública. Una autorización realizada desde un dispositivo con clave revocada se rechazará.

¿Puede un atacante realizar transacciones con mi cuenta?2017-06-26T09:24:18+02:00

Aunque conozca las credenciales, tendría que registrar un dispositivo para el uso. Esto exige una prueba de autenticación fuerte.

¿Como se detectan los atacantes?2017-06-26T09:24:23+02:00

El uso de un nuevo dispositivo requiere una autenticación fuerte. El usuario recibirá un SMS con un aviso. El banco puede detectar intrusos con accesos no previstos desde localizaciones o redes no habituales.