El mecanismo se basa en dos pilares: la autenticación del firmante y la integridad del documento.
Para autenticar al firmante, se utiliza uno o varios factores de identificación: dirección de correo electrónico de confianza (enlace de un solo uso), código OTP recibido por SMS, certificado criptográfico personal, etc. Para garantizar la integridad, se calcula una huella (hash) del documento en el momento de la firma. Si el documento se modifica posteriormente, la huella no coincide — la firma se invalida.
En soluciones como Certyneo, el proceso se basa en bibliotecas de procesamiento de PDF que integran estos metadatos criptográficos directamente en el archivo. Un registro de auditoría con marca de tiempo (registro de acciones) complementa el dispositivo registrando cada etapa: envío, apertura, OTP validado, firma, etc.
En el plano técnico, varios mecanismos de seguridad refuerzan la inviolabilidad del proceso: la marca de tiempo cualificada (RFC 3161) aplica una prueba de tiempo certificada en cada firma; el cifrado TLS 1.3 protege los datos en tránsito; la geolocalización y la dirección IP del firmante se registran para la trazabilidad; finalmente, en ciertos flujos (AES/QES), datos biométricos comportamentales (velocidad de escritura, presión) complementan la huella de identidad.
El concepto de no repudio es central: gracias al registro de auditoría con marca de tiempo y firmado criptográficamente, es técnicamente imposible que un firmante niegue haber firmado un documento sin falsificar la cadena de pruebas. En cuanto al archivado, la regulación francesa (decreto 2016-1673) impone una conservación de 10 años para la mayoría de los actos comerciales — Certyneo asegura este archivado con valor probatorio en alojamiento soberano (UE).