Vigencia del Código Seguro de Verificación (CSV)


El Código Seguro de Verificación de documentos o CSV es un conjunto de dígitos que identifica de forma única los documentos electrónicos auténticos emitidos por una entidad.

El CSV se suele incluir en la parte final de un documento, próximo a la zona en la que se incluye la firma gráfica o la firma electrónica y posibilita el cotejo, a través de la Sede Electrónica de la entidad, de la versión impresa del documento gracias a la descarga del correspondiente documento electrónico original.

Los documentos con CSV se denominan documentos híbridos porque tienen carácter de auténticos tanto en su versión impresa como electrónica, por la posibilidad de cotejarlos contra su matriz.

Para comprobar la autenticidad de un documento, si se pone en duda, se introduce el código CSV que figura en el documento accediendo a la sección de la página web de la entidad destinada al cotejo de documentos. Si el código tecleado corresponde verdaderamente a un documento original la página web ofrecerá su descarga, lo que permitirá comprobar  la coincidencia de contenido del documento en papel con el electrónico.

En ocasiones, el CSV forma parte de una dirección URL que incluye el dominio de la página web de la sede electrónica del organismo, y en estos casos se suele incluir también un código bidimensional (QR) con dicho enlace para facilitar el cotejo con teléfonos móviles que incluyen aplicaciones de lectura de este tipo de códigos.

La razón por la que el enlace con el CSV se incluye en una zona del documento contigua a la de la firma es por que se considera que, como ella, forma parte de la zona del documento denominada escatocolo.

En el ámbito de las administraciones públicas, el CSV se menciona en la Ley 39/2015:

Artículo 27. Validez y eficacia de las copias realizadas por las Administraciones Públicas.

(…)

c) Las copias en soporte papel de documentos electrónicos requerirán que en las mismas figure la condición de copia y contendrán un código generado electrónicamente u otro sistema de verificación, que permitirá contrastar la autenticidad de la copia mediante el acceso a los archivos electrónicos del órgano u Organismo público emisor.

d) Las copias en soporte papel de documentos originales emitidos en dicho soporte se proporcionarán mediante una copia auténtica en papel del documento electrónico que se encuentre en poder de la Administración o bien mediante una puesta de manifiesto electrónica conteniendo copia auténtica del documento original.

A estos efectos, las Administraciones harán públicos, a través de la sede electrónica correspondiente, los códigos seguros de verificación u otro sistema de verificación utilizado.

(…)

El CSV también se menciona en la Ley 40/2015:

Artículo 42. Sistemas de firma para la actuación administrativa automatizada.

(…)

b) Código seguro de verificación vinculado a la Administración Pública, órgano, organismo público o entidad de Derecho Público, en los términos y condiciones establecidos, permitiéndose en todo caso la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente.

(…)

Es un error habitual considerar el CSV un sistema de firma, y aparte de en esta reciente Ley 40/2015, este error también se producía en la Ley 11/2007, claro antecedente en la regulación del CSV.

En el ámbito privado, el CSV lo utilizan los Prestadores de Servicios de Confianza Digital (en terminología acuñada por el Reglamento Europeo UE 910/204) para identificar documentos electrónicos auténticos accesibles a través de sus sistemas de Custodia Digital. Los documentos en papel que contienen transcripciones de documentos electrónicos suelen denominarse “albalá” o Copia Constatable si figura en ellos el Código Seguro de Verificación (CSV).

El Código Seguro de Verificación no es suficiente para identificar un documento, sino que esta información debe ir acompañada de la identificación por su URL de la sede electrónica de la entidad a la que se puede acceder para el cotejo del documento al que corresponde. La excepción está constituida por los Códigos Seguros de Verificación enrutables (o con información de encaminamiento) a los que me referiré en otro artículo.

El código seguro de verificación es unívoco para un documento determinado y no puede haber dos documentos con el mismo código (lo que se denomina una “colisión”) en una misma entidad. Este es uno de los motivos por los que los CSV tienen validez ilimitada y forman parte de la identificación del documento desde su gestión en la fase activa del procedimiento administrativo hasta su custodia en la fase de archivo.

Por dicho motivo, los archiveros exigen que en el protocolo de cesión de documentos electrónicos que pasan a estar bajo su custodia se incluyan las medidas de seguridad y control que garantizan la correcta identificación del CSV de todos los documentos del lote transferido, asi como que existen medidas adicionales de control en la gestión de documentos en la fase activa que permiten garantizar que no se generarán códigos CSV coincidentes con otros asignados a los documentos transferidos para su archivo.

He escrito más artículos con temática conexa a la del CSV:

3 pensamientos en “Vigencia del Código Seguro de Verificación (CSV)

  1. Seleuco Nicator (@SeleucoNicator)

    Entiendo tu razonamiento, pero yo la vinculación la veo como una asociación.

    Es el caso de la firma básica. Una firma básica puede ser el mero acto de identificación según se recoge en la ley 39 si así lo regula la norma.

    Es decir, el sistema de información almacena la asociación del firmante y lo firmado. En el caso del csv lo veo como una especie de firma basica que vincula al documento (y en su caso) segun la ley 11, al firmante. Es decir, si el sistema de información guarda la relación de csv con el documento y con el firmante, se produce el acto de firma. Esto queda fuera de toda consideración criptografica, función hash, etc, por supuesto.

    De hecho, el RD de desarrollo de la ley 11, deja claro que él csv es un sistema de firma para empleado público (por mucho que no nos guste a los puristas)

    ¿O nos gusta clave-firma? Donde el lado más frágil es la identificación, y ya sabemos que en esto de la seguridad tu sistema será tan débil como el lado más débil de la cadena. Es decir, ya puede ser robusto la firma centralizada con todas las garantías criptografica que conocemos que como te roben el pin (y sabemos que el móvil no es seguro) se nos cae el invento. Es el móvil un dispositivo seguro a nivel de identificación/firma?? Es decir, es firma reconocida??

    Artículo 21. Firma electrónica mediante medios de autenticación personal.

    El personal al servicio de la Administración General del Estado y de sus organismos públicos vinculados o dependientes utilizará los sistemas de firma electrónica que se determinen en cada caso, entre los siguientes:

    a) Firma basada en el Documento Nacional de Identidad electrónico.

    b) Firma basada en certificado de empleado público al servicio de la Administración General del Estado expresamente admitidos con esta finalidad.

    c) Sistemas de código seguro de verificación, en cuyo caso se aplicará, con las adaptaciones correspondientes, lo dispuesto en el artículo 20.

    Responder
    1. inza Autor de la entrada

      Efectivamente, este de la Agencia Tributaria es un caso más en el que se pretende usar el código seguro de verififcación como sistema de firma, pero se ve, por su definición, que no es así, ya que se deriva de un valor aleatorio.

      Un CSV no es un sistema de firma, pero algunos CSV se pueden utilzr como sistemas de firma. Por ejemplo si un hash derivado del documento se concatena con información del firmante como nombrre, apellidos departamento, número de identidad, y de la cadena resultante se extrae un nuevo hash. El resultado sería un valor que vincula al firmante con lo firmado y podría considerarse una firma avanzada, y si de ese coódigo se deriva el valor del CSV, el CSV cumpliría los requisitos de una firma.

      Pero aun en esa caso, la firma lo sería por otros criterios, no por ser un CSV.

      Responder

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s