Política de firma electrónica y conservación de evidencias

Gestión Empleado presta un servicio de firma electrónica con evidencias reforzadas. El sistema registra autenticación previa, OTP de un solo uso, hash SHA-256 del documento, timestamp del servidor, IP, agente de usuario y cadena de eventos. No se presenta como firma electrónica cualificada ni como servicio de confianza cualificado.

La firma solo puede completarse desde una sesión autenticada del usuario asignado al documento y requiere OTP enviado al email asociado a su cuenta. La responsabilidad de custodiar credenciales, correo de acceso y dispositivo corresponde al titular de la cuenta, sin perjuicio de las obligaciones de seguridad de la plataforma. La captura de evidencias biométricas solo se realiza si el firmante la activa expresamente en el flujo de firma y no es requisito para completar el proceso.

Al finalizar la firma se calcula la huella SHA-256 del PDF original, se conserva una copia inmutable del documento junto con referencia al audit trail y se registra una cadena hash de eventos. El audit trail se firma criptográficamente mediante HMAC del servidor para detectar alteraciones posteriores del registro probatorio.

El documento firmado, el audit trail y los eventos de firma se conservan en almacenamiento privado en región UE. La conservación mínima recomendada para documentación laboral y contractual debe ajustarse a la normativa aplicable a cada cliente. El responsable del tratamiento debe definir su política interna de retención y expurgo.

Aunque la firma electrónica no puede rechazarse por el mero hecho de ser electrónica, la valoración probatoria dependerá del caso concreto. Para sectores regulados, documentos de alto riesgo o despliegues comerciales masivos, se recomienda revisión por abogado TIC/laboral y evaluación de seguridad independiente antes de comercializar la solución como mecanismo principal de contratación.