21 octubre 2013

La importancia del QUIÉN y el CUANDO en un documento

Hoy voy a relatar el caso de Juan, un caso que refleja bastante bien la problemática de la autoría en los documentos.

Juan se dedica al mundo de la consultoría financiera, su trabajo es emitir informes aconsejando / desaconsejando inversiones, compra de acciones o activos. Es un trabajo muy especializado y donde acertar / fallar en una decisión implica ganar / perder bastante dinero, es fácil imaginar el nivel de estrés asociado al puesto y la enorme competitividad.

Por encima del grupo de consultores hay un supervisor y por encima de él, un socio que es quien realmente tiene las funciones ejecutivas (tomar decisiones).

Resulta que a Juan se le encomendó valorar una inversión, Juan emitió un completo informe donde se recomendaba una inversión económica importante. Juan compartió ese documento con su supervisor (usan una alternativa a Dropbox en teoría más segura). Pasó el tiempo y la inversión que Juan había recomendado supuso un éxito y la empresa ganó varios cientos de miles de euros. A raíz de eso, esperaba que alguien le felicitase, tal vez un aumento ... 

Pasó el tiempo y nadie dijo nada, esto generó cierta desidia en Juan, pasó de ser un empleado 'ninja' de los que llegan a las 8 de la mañana y se van a las 21, que trabaja en fin de semana, responde correos a horas intempestivas ... A algo mucho más pasivo.

Un día el socio le citó en su despacho, la conversación tenia un tono de 'te estamos dando un toque por bajo rendimiento', entonces Juan explotó y expuso su malestar por la falta de reconocimiento. El socio se quedó perplejo y dijo que no tenía conocimiento de que el documento con la valoración fuese suyo, asociaba la autoría al supervisor. 

Mandó llamar al supervisor y organizó un careo. En ese momento el supervisor en un ejercicio de cinismo extremo se arrogó la potestad del documento y achacó a un problema de celos lo que estaba contando el pobre Juan. En ese momento Juan se dio cuenta que no tenía elementos contundentes para justificar sus afirmaciones. Sí, el documento estaba en su PC, sí, se podrían contrastar las fechas de creación pero a la postre todo era excesivamente 'circunstancial'

Juan fue despedido y, aunque a los pocos días encontró otro trabajo, su salario era un 30% inferior al anterior.

¿Podía haber hecho algo Juan para no quedarse 'vendido'? Yo tengo una respuesta: usar eG-Doc 

eG-Doc es uno de los servicios que ofrecemos en eGarante, está orientado a cumplir tres requisitos

1- Definir la autoría de un documento
2- Garantizar la integridad del documento (que no se haya modificado)
3- Asegurar la fecha de creación del documento

Y todo como testigo tercero independiente con plena validez legal.

eG-Doc fue diseñado pensando en facturas electrónicas, como mecanismo para poder enviar una factura y que quede constancia del importe y la fecha en la que se emitió, pero tiene también mucho sentido en escenarios como el anteriormente relatado.

Para usar eG-Doc tan solo hay que enviar un documento en formato PDF  a la dirección docsigned@egarante.com

El servicio devolverá al remitente el documento con la firma digital de eGarante y un sello de tiempo emitido por una TSA reconocida. Si en el correo has puesto más destinatarios, ellos también recibirán la copia del documento ¿Fácil verdad?

Junto con la firma digital de eGarante y el sello de tiempo, eGarante añade un campo llamado 'Visible signature' donde indica el correo origen del documento, siempre y cuando el correo haya superado la validación SPF. Así se mitiga una posible falsificación de origen

Una vez abierto un documento procesado con eG-Doc usando Acrobat Reader, nos encontramos en el panel de firmas la siguiente información


Lo que garantiza y acredita el contenido del documento y su fecha.

Dentro del propio documento, podemos ver la 'visible signature'


Donde se indica el correo que generó el documento. Esta 'visible signature' sale en la página 1 y solo es visible a través de Adobe Reader, no forma parte del texto del documento y por tanto, si se imprime el documento, no aparece en la copia impresa.

9 comments :

Juanma dijo...

A mi me preocuparían dos cosas, la primera, la confidencialidad de la información que va en el documento, porque el mandar un correo con datos clasificados a un tercero sin ningún contrato de confidencialidad firmado, no es algo muy tranquilizador.


Por otro lado, el tema del mail spoofing, capturas de sesión, DOS y SLAs, etc.


En el caso de "Juan" si el jefe hubiese usado ese servicio antes que él, tendría el mismo problema.


Un saludo,
Juanma.

igoking dijo...

Yo entiendo que solo mandas el hash del documento que es lo que se firma ¿no? Al menos en los timestamps firmados funciona así. Envías el hash y la TSA devuelve la firma que se adjunta al documento original.


Un saludo.

igoking dijo...

Me corrijo, en esta aplicación si que es necesario subir el documento. Perdón por el error!!!


Un saludo.

dsa10 dijo...

Simplemente con que Juan hubiera enviado el documento a su jefe por el email corporativo, en vez del dropbox este, que me parece un poco rebuscado, ya podría demostrarle al socio la autoría del documento original, sin violar las políticas de confidencialidad de la empresa y suponiendo que el supervisor no puede enmierdar en el servidor de correo de sus empleados.

Yago Jesus dijo...

Sobre lo primero que dices, tu puedes contratar un servicio profesional con eGarante, es una empresa que opera en España, cumple la LOPD y la LSSI y tiene un muy detallada política de privacidad http://www.egarante.com/aviso-legal-y-politica-de-privacidad/


Respecto a lo segundo que dices, se han tomado medidas para evitar la falsificación de correos.


Y tu última reflexión no la entiendo, por esa misma regla de tres, invalidemos el registro de marcas ya que una persona puede registrar una marca que no sea suya.



El matiz está en que tu, como creador, siempre vas a tener en primera instancia la oportunidad de tomar medidas, es algo que está en tu mano al ser quien genera el documento, si no lo haces y negligentemente permites que otro lo haga, no creo que sea problema del sistema

Yago Jesus dijo...

Imagina que no existe mail corporativo y que Juan actúa como freelance usando otro servidor de correo tipo Gmail o incluso que se usa Google Apps donde no puedes 'meter mano'.


Y siempre tiene más garantía jurídica alguien que haga de tercero que una auto-investigación

Wriner dijo...

Hola Yago,


perdón por la intromisión, no es mi intención hacer flame, pero digamos que os llega un documento sobre algo infinitamente preciado, como un manual para hacer la piedra filosofal, una fórmula matemática que te permita saber si un número es primo o la prueba irrefutable de quien mató a Kennedy (en el caso de que estas cosas fuesen posibles); por mucha LOPS y LSSI y políticas de privacidad que tengáis, ¿de verdad ningún empleado de vuestra empresa haría uso de esa información?

Yago Jesus dijo...

A ver, es que tal y como funciona el servicio, NADIE tiene acceso al documento o su contenido, es decir, aquí NO hay intervención humana, solo adjuntos que se firman y se sellan, da igual que sea un catálogo de marketing o documentación clasificada por los EEUU, a efectos del servicio todos los documentos son procesados y luego borrados

dsa10 dijo...

Perdona que haga de abogado del diablo eh? Obviamente tienes razón en la garantía jurídica del tercero, aquí lo clásico sería ir al notario, que abriera ese buzón de gmail y certificara el contenido del documento, en este caso Gmail siempre juega a nuestro favor porque, si bien no podemos hacer un forensics, el jefe no puede tocarlo, ni nosotros modificarlo en principio.


Dicho esto si me pongo de freelance algún día usaré vuestro servicio seguro.