El mecanismo se basa en dos pilares: la autenticación del firmante y la integridad del documento.
Para autenticar al firmante, se utiliza uno o más factores de identificación: dirección de correo electrónico de confianza (enlace de uso único), código OTP recibido por SMS, certificado criptográfico personal, etc. Para garantizar la integridad, se calcula una huella (hash) del documento en el momento de la firma. Si el documento se modifica posteriormente, la huella no coincide — la firma se invalida.
En soluciones como Certyneo, el proceso se basa en bibliotecas de procesamiento PDF que integran estos metadatos criptográficos directamente en el archivo. Un registro de auditoría sellado con hora (registro de acciones) complementa el dispositivo registrando cada paso: envío, apertura, OTP validado, firma, etc.
En términos técnicos, varios mecanismos de seguridad refuerzan la inviolabilidad del proceso: el sellado de hora cualificado (RFC 3161) apone una prueba de tiempo certificada en cada firma; el cifrado TLS 1.3 protege los datos en tránsito; la geolocalización y la dirección IP del firmante se registran para la trazabilidad; finalmente, en ciertos flujos (AES/QES), datos biométricos conductuales (velocidad de digitación, presión) complementan la huella de identidad.
El concepto de no repudio es central: gracias al registro de auditoría sellado con hora y firmado criptográficamente, es técnicamente imposible que un firmante niegue haber firmado un documento sin falsificar la cadena de pruebas. En materia de archivo, la regulación francesa (decreto 2016-1673) impone una conservación de 10 años para la mayoría de los actos comerciales — Certyneo asegura este archivo con valor probatorio en alojamiento soberano (UE).