El mecanismo se basa en dos pilares: la autenticación del firmante y la integridad del documento.
Para autenticar al firmante, se utilizan uno o varios factores de identificación: dirección de correo electrónico de confianza (enlace de uso único), código OTP recibido por SMS, certificado criptográfico personal, etc. Para garantizar la integridad, se calcula una huella (hash) del documento en el momento de la firma. Si el documento se modifica posteriormente, la huella deja de coincidir — la firma se invalida entonces.
En soluciones como Certyneo, el proceso se basa en bibliotecas de procesamiento PDF que integran estos metadatos criptográficos directamente en el archivo. Un registro de auditoría con marca de tiempo (registro de acciones) complementa el dispositivo registrando cada paso: envío, apertura, OTP validado, firma, etc.
En el plano técnico, varios mecanismos de seguridad refuerzan la inviolabilidad del proceso: la marca de tiempo cualificada (RFC 3161) apone una prueba de hora certificada en cada firma; el cifrado TLS 1.3 protege los datos en tránsito; la geolocalización y la dirección IP del firmante se registran para la trazabilidad; finalmente, en ciertos flujos (AES/QES), datos biométricos comportamentales (velocidad de escritura, presión) complementan la huella de identidad.
El concepto de no repudio es central: gracias al registro de auditoría con marca de tiempo y firmado criptográficamente, es técnicamente imposible para un firmante negar haber firmado un documento sin falsificar la cadena de pruebas. En materia de archivado, la normativa francesa (decreto 2016-1673) impone una conservación de 10 años para la mayoría de actos comerciales — Certyneo asegura este archivado con valor probatorio en alojamiento soberano (UE).