El mecanismo se basa en dos pilares: la autenticación del firmante y la integridad del documento.
Para autenticar al firmante se utilizan uno o varios factores de identificación: dirección de correo de confianza (enlace de uso único), código OTP recibido por SMS, certificado criptográfico personal, etc. Para garantizar la integridad, se calcula una huella (hash) del documento en el momento de la firma. Si el documento se modifica posteriormente, la huella no coincide — la firma se invalida entonces.
En soluciones como Certyneo, el proceso se basa en bibliotecas de procesamiento PDF que integran estos metadatos criptográficos directamente en el archivo. Una pista de auditoría con marca de tiempo (registro de acciones) complementa el dispositivo registrando cada paso: envío, apertura, OTP validado, firma, etc.
En el plano técnico, varios mecanismos de seguridad refuerzan la inviolabilidad del proceso: la marca de tiempo cualificada (RFC 3161) estampa una prueba de tiempo certificada en cada firma; el cifrado TLS 1.3 protege los datos en tránsito; la geolocalización e dirección IP del firmante se registran para la trazabilidad; finalmente, en ciertos flujos (AES/QES), datos biométricos conductuales (velocidad de escritura, presión) complementan la huella de identidad.
El concepto de no repudio es central: gracias a la pista de auditoría con marca de tiempo y firmada criptográficamente, es técnicamente imposible que un firmante niegue haber firmado un documento sin falsificar la cadena de pruebas. En materia de archivo, la regulación francesa (decreto 2016-1673) impone una conservación de 10 años para la mayoría de actos comerciales — Certyneo asegura este archivo con valor probatorio en alojamiento soberano (UE).