Hay una pregunta que muy pocos responsables de asesor\u00eda pueden responder con seguridad en este momento: \u00bfqui\u00e9n tiene acceso a los certificados digitales de tus clientes?
No qui\u00e9n deber\u00eda tenerlo. Qui\u00e9n lo tiene realmente.
En muchos despachos, la respuesta honesta es: todo el equipo. O al menos, todo el que en alg\u00fan momento necesit\u00f3 usarlos y sabe d\u00f3nde est\u00e1n guardados. Sin distinci\u00f3n de cliente, sin distinci\u00f3n de funci\u00f3n, sin registro de cu\u00e1ndo ni para qu\u00e9.
Eso no es control. Es confianza. Y la confianza, aunque necesaria en cualquier equipo, no es suficiente cuando se gestionan activos con efectos legales en nombre de terceros.
Controlar qui\u00e9n usa los certificados digitales de los clientes no es desconfiar del equipo. Es asumir con rigor la responsabilidad que conlleva custodiar su identidad digital.<\/p>\n\n\n\n
<\/p>\n\n\n\n
El problema con \u00abtodo el mundo tiene acceso\u00bb<\/strong> Los escenarios de riesgo m\u00e1s frecuentes<\/strong> Qu\u00e9 significa tener control real sobre el uso de certificados digitales<\/strong> C\u00f3mo establecer un sistema de control de accesos sin complicar el trabajo<\/strong> Permisos por usuario y por certificado. Se puede definir exactamente qui\u00e9n del equipo tiene acceso a los certificados de cada cliente. Ni m\u00e1s ni menos. Ese control es activo y se puede modificar cuando cambian las circunstancias. Cofre no a\u00f1ade burocracia al trabajo del equipo. A\u00f1ade visibilidad y control a quien tiene la responsabilidad de garantizar que los certificados de los clientes se gestionan correctamente.<\/p>\n\n\n\n \u00bfTienes control real sobre qui\u00e9n usa los certificados digitales de tus clientes?<\/strong><\/p>\n\n\n\n Responde con honestidad:<\/p>\n\n\n\n Si tienes dudas en tres o m\u00e1s puntos, el control sobre el uso de los certificados digitales de tus clientes es m\u00e1s fr\u00e1gil de lo que deber\u00eda. No como problema urgente en todos los casos, pero s\u00ed como riesgo que crece con el tiempo y con el volumen de clientes.<\/p>\n\n\n\n Controlar qui\u00e9n usa los certificados digitales de los clientes no es una cuesti\u00f3n de desconfianza hacia el equipo. Es una cuesti\u00f3n de responsabilidad profesional hacia los clientes.<\/p>\n\n\n\n Una asesor\u00eda que gestiona la identidad digital de decenas o cientos de empresas tiene la obligaci\u00f3n de saber, en todo momento, qui\u00e9n accede a esa informaci\u00f3n, con qu\u00e9 prop\u00f3sito y qu\u00e9 queda registrado de ese acceso. No porque alguien lo exija desde fuera, sino porque es lo que corresponde a quien asume esa responsabilidad. <\/p>\n","protected":false},"excerpt":{"rendered":" Hay una pregunta que muy pocos responsables de asesor\u00eda pueden responder con seguridad en este momento: \u00bfqui\u00e9n tiene acceso a los certificados digitales de tus clientes?No qui\u00e9n deber\u00eda tenerlo. Qui\u00e9n lo tiene realmente.En muchos despachos, la respuesta honesta es: todo el equipo. O al menos, todo el que en alg\u00fan momento necesit\u00f3 usarlos y sabe […]<\/p>\n","protected":false},"author":7,"featured_media":544,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15],"tags":[],"class_list":["post-564","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-certificados"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/posts\/564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/comments?post=564"}],"version-history":[{"count":1,"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/posts\/564\/revisions"}],"predecessor-version":[{"id":565,"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/posts\/564\/revisions\/565"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/media\/544"}],"wp:attachment":[{"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/media?parent=564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/categories?post=564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cofre.io\/blog\/wp-json\/wp\/v2\/tags?post=564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
En la mayor\u00eda de las asesor\u00edas, los certificados digitales de los clientes se guardan en un lugar compartido al que puede acceder cualquiera del equipo. La l\u00f3gica es sencilla: si alguien necesita hacer un tr\u00e1mite y quien lleva ese cliente no est\u00e1, otro pueda cubrirlo.
Es una l\u00f3gica razonable. El problema es que, llevada al extremo, elimina cualquier posibilidad de control real.
Si todo el mundo puede acceder a todo, no hay forma de saber qui\u00e9n accedi\u00f3 a qu\u00e9, cu\u00e1ndo y con qu\u00e9 prop\u00f3sito. No hay forma de detectar un uso incorrecto hasta que sus consecuencias ya son visibles. Y no hay forma de responder con precisi\u00f3n si un cliente pregunta qui\u00e9n ha gestionado sus certificados en los \u00faltimos meses.
El acceso universal resuelve el problema de la disponibilidad, pero crea un problema mayor: la opacidad total sobre el uso de uno de los activos m\u00e1s sensibles que gestiona un despacho profesional.
<\/strong>
Por qu\u00e9 el control de accesos a certificados digitales importa m\u00e1s de lo que parece<\/strong>
Los certificados digitales no son archivos ordinarios. Son documentos con capacidad legal: permiten actuar en nombre de una empresa, presentar declaraciones ante la Agencia Tributaria, gestionar notificaciones con efectos jur\u00eddicos y firmar documentos con validez legal.
Cada uso de un certificado digital tiene consecuencias reales para el cliente. Y si ese uso no est\u00e1 controlado ni registrado, esas consecuencias pueden ser dif\u00edciles de explicar o de revertir.
Hay tres razones concretas por las que el control de accesos a certificados digitales importa en el d\u00eda a d\u00eda de una asesor\u00eda:
La responsabilidad ante el cliente. Si algo sale mal en un tr\u00e1mite, el cliente querr\u00e1 saber qui\u00e9n lo gestion\u00f3 y c\u00f3mo. Sin control de accesos, esa respuesta no existe.
La seguridad de la informaci\u00f3n. Un certificado accesible para todo el equipo sin distinci\u00f3n es un certificado expuesto a usos no autorizados, errores de identificaci\u00f3n o filtraciones en caso de salida de personal.
El cumplimiento normativo. El RGPD obliga a adoptar medidas t\u00e9cnicas y organizativas para proteger los datos personales de los clientes. El control de qui\u00e9n accede a sus certificados digitales es una de esas medidas.<\/p>\n\n\n\n
El t\u00e9cnico que cubre a un compa\u00f1ero sin saber exactamente qu\u00e9 est\u00e1 gestionando.
Cuando alguien accede al certificado de un cliente que no lleva habitualmente, el riesgo de confusi\u00f3n aumenta. Mismo nombre de empresa, distintas figuras jur\u00eddicas, certificados de distintos tipos. Un error en ese contexto puede tener consecuencias reales.
El empleado que deja el despacho con acceso todav\u00eda activo.
Si los certificados est\u00e1n en una carpeta compartida a la que ese empleado sigue teniendo acceso, o si los tiene guardados en su propio equipo, el control sobre la informaci\u00f3n de los clientes ha desaparecido. Y nadie lo ha notado.
El acceso desde dispositivos no seguros.
Sin control de accesos, no hay forma de saber si alguien ha accedido a los certificados desde un ordenador personal, una red no segura o un dispositivo compartido. Eso multiplica la superficie de riesgo sin que nadie lo haya decidido conscientemente.
El uso del certificado equivocado por error.
Cuando los certificados de varios clientes est\u00e1n en el mismo lugar sin una estructura clara, usar el certificado de una empresa para gestionar un tr\u00e1mite de otra es un error que puede pasar. Y cuyas consecuencias pueden ser complejas de resolver.
La renovaci\u00f3n gestionada por alguien que no deber\u00eda.
Si no hay control sobre qui\u00e9n puede hacer qu\u00e9 con los certificados, cualquier miembro del equipo podr\u00eda iniciar un proceso de renovaci\u00f3n sin tener el conocimiento o la autorizaci\u00f3n necesaria para hacerlo correctamente.<\/p>\n\n\n\n
Controlar qui\u00e9n usa los certificados digitales no significa monitorizar cada movimiento del equipo. Significa tener un sistema que responda con fiabilidad a estas preguntas:
\u00bfQui\u00e9n puede acceder al certificado de este cliente? Que no sea \u00abcualquiera\u00bb, sino personas concretas con una raz\u00f3n concreta para tenerlo.
\u00bfQui\u00e9n accedi\u00f3 al certificado de este cliente en los \u00faltimos tres meses? Una lista real, con fechas, no una estimaci\u00f3n basada en qui\u00e9n lleva ese cliente habitualmente.
\u00bfQu\u00e9 se hizo con ese certificado? Para qu\u00e9 tr\u00e1mite se us\u00f3, con qu\u00e9 resultado y si hubo alguna incidencia.
\u00bfSigue teniendo acceso alguien que ya no deber\u00eda? Un empleado que se fue, un colaborador externo cuyo proyecto termin\u00f3, alguien que cambi\u00f3 de funci\u00f3n dentro del despacho.
Cuando esas preguntas tienen respuesta r\u00e1pida y fiable, el control es real. Cuando no la tienen, el control es una ilusi\u00f3n.<\/p>\n\n\n\n
El objetivo no es poner barreras que dificulten el trabajo del equipo. Es definir qui\u00e9n necesita qu\u00e9, asignar los accesos en consecuencia y mantener ese sistema actualizado cuando las cosas cambian.
Define perfiles de acceso por funci\u00f3n, no por persona.
No se trata de decidir individualmente qui\u00e9n puede acceder a cada certificado de cada cliente. Se trata de establecer criterios claros: quien lleva la gesti\u00f3n fiscal de un cliente tiene acceso a sus certificados; quien lleva solo la contabilidad, no necesariamente.
Revisa los accesos cuando el equipo cambia.
Incorporaciones, bajas, cambios de funci\u00f3n, salida de colaboradores externos. Cada uno de esos momentos requiere una revisi\u00f3n de los permisos asignados. Si no hay un protocolo para eso, los accesos se acumulan y se descontrolan con el tiempo.
Separa el acceso de la custodia.
Que alguien pueda usar un certificado cuando lo necesita no significa que deba tener acceso permanente e irrestricto a \u00e9l. Un sistema bien dise\u00f1ado permite que el acceso se active cuando se necesita y quede registrado cuando se produce.
Registra cada acceso de forma autom\u00e1tica.
El registro manual no funciona. Si depende de que alguien lo recuerde y lo anote, tarde o temprano deja de hacerse. El registro tiene que ser parte del sistema, no una tarea adicional.
Revisa el historial peri\u00f3dicamente.
Una revisi\u00f3n mensual o trimestral de qui\u00e9n ha accedido a qu\u00e9 certificados permite detectar anomal\u00edas, confirmar que los permisos asignados son los correctos y tener visibilidad sobre la operativa real del equipo.
<\/strong>
C\u00f3mo Cofre ayuda a controlar qui\u00e9n usa los certificados digitales<\/strong>
Implementar un sistema de control de accesos sobre los certificados digitales de los clientes es pr\u00e1cticamente imposible con carpetas compartidas o herramientas gen\u00e9ricas. No porque sea t\u00e9cnicamente complicado, sino porque esas herramientas no est\u00e1n dise\u00f1adas para eso.
Cofre resuelve este problema de forma directa. Es una herramienta pensada para asesor\u00edas, gestor\u00edas y despachos profesionales que necesitan gestionar los certificados digitales de sus clientes con control real sobre qui\u00e9n accede, cu\u00e1ndo y para qu\u00e9.
Lo que permite en t\u00e9rminos concretos de control de accesos:<\/p>\n\n\n\n
Registro autom\u00e1tico de accesos. Cada vez que alguien accede a un certificado, queda registrado: qui\u00e9n, cu\u00e1ndo y desde qu\u00e9 contexto. Sin que nadie tenga que anotarlo. Sin que nadie pueda olvidarse de hacerlo.
Historial consultable. Esa informaci\u00f3n est\u00e1 disponible para quien tenga permisos de revisi\u00f3n, de forma ordenada y con posibilidad de filtrar por cliente, por usuario o por fecha.
Gesti\u00f3n de cambios en el equipo. Cuando alguien se va, sus permisos se revocan. Cuando alguien se incorpora, se le asignan los accesos que corresponden a su funci\u00f3n. Sin que los certificados de los clientes queden expuestos ni inaccesibles en ning\u00fan momento.
Sin dependencias de personas concretas. El control no depende de que alguien recuerde gestionar los accesos. Est\u00e1 integrado en el sistema y funciona con independencia de qui\u00e9n est\u00e9 disponible.
Visibilidad para el responsable del despacho. Quien tiene la responsabilidad operativa puede ver, en cualquier momento, el estado de los accesos y el historial de uso, sin tener que preguntar al equipo ni reconstruir nada.<\/p>\n\n\n\n\n
El control de accesos bien implementado no ralentiza el trabajo. Lo ordena. Y un equipo que trabaja con orden comete menos errores, responde mejor ante los clientes y tiene menos dependencias de personas concretas que, si faltan, generan problemas.<\/p>\n\n\n\n