Proteger el certiticado digital

[raulgov]

Hola todos,

No tengo tan claro que podamos almacenar los certificados digitales de nuestros clientes así de fácil en la base de datos o en directorios del servidor, etc, aunque los encriptemos. Me refiero a entornos SaaS (alguno comenta PHP y doy por supuesto que será web/cloud) y no aplicaciones de escritorio.

Lo digo por el tema del reglamento eiDAS que requiere de gestión de certificados digitales bajo hardware HSM y cosas así, o eso tengo entendido.

Nosotros estamos ahora buscando posibles proveedores para la gestión externa de certificados y firma de documentos sin que tengamos que almacenar nosotros los certificados. Pero entre tanto proveedor con precios opacos, disparatados o nada claros, se nos hace un mundo este tema.

Sé que hay algunos programas (incluso en modo SaaS) que hacen doble encriptado y cosas así pero los almacenan en su base de datos/servidor y ya no cumple estrictamente con el eiDAS (o eso creo).
No creo que pedir la contraseña del certificado pueda ser viable para facturar, ya que eso es darle muchos privilegios a cualquier empleado que facture (pensad simplemente en simplificadas).

Se nos va a hacer muy costoso si no podemos almacenar nosotros los certificados digitales de nuestros clientes aunque los encriptemos por separado la clave privada y la contraseña para:
- firmar registros de facturación (en modo No Verifactu),
- comunicarnos con AEAT con el certificado del cliente,
- o firmar logs de auditoria de elementos prefacturables (pedidos, albaranes, cobros, etc como dicen en los webinars el técnico de Hacienda para los requisitos que garanticen los principios de Integridad, Inalterabilidad, Trazabilidad, Accesibilidad, Legibilidad y Conservación de la ley Antifraude).

No digamos ya cuando tengamos que firmar facturas digitales sí o sí con la Ley Crea y Crece. Estoy hablando de miles de euros al año en costes para pagar a proveedores eiDAS que gestionen externamente los certificados y que casi todos cobran a razón de documento/registro firmado. Imaginad un cliente que facture fácilmente 15.000 facturas lo que puede costar.

He visto que se puede mandar firmar con la aplicación AutoFirma mediante el protocolo afirma:// y que se abre la aplicación AutoFirma, se firma y devuelve el doc firmado a una URL de nuestro servidor con el documento firmado, pero no lo he probado (quizá sea invento de chatgpt) y no valdrá para procesos automatizados o incluso que cualquier currito sin el certificado de la empresa instalado en el PC no podrá facturar.

Decidle a vuestros clientes que por cada factura que emitan van a pagar ahora X,XX€... ya sé donde nos mandarán.

¿Cómo lo veis vosotros?
¿Alguien que haya indagado el tema eiDAS y sepa con certeza la posibilidad de almacenar en servidor (principalmente SaaS) certificados de nuestros clientes sin todo el tema eiDAS?

A ver si estamos aquí todos luchando con el nuevo invento de Verifactu y nos vamos a meter en un marrón con el eiDAS.