Apariencia
Verificacion de firma con 2FA
La verificacion de firma con 2FA agrega una capa adicional de seguridad a los certificados de capacitacion y a las entregas de EPP. Cuando esta funcionalidad esta habilitada, los usuarios deben verificar su identidad con un codigo OTP enviado por email al momento de firmar.
Conceptos clave
- OTP (One-Time Password) — Codigo numerico de 6 digitos, valido por 10 minutos, enviado por email.
- Metodo de verificacion — El email verificado del usuario, almacenado para futuras firmas.
- Observaciones del firmante — Texto opcional que el trabajador puede agregar al firmar. Se persiste con el registro de la verificacion 2FA y es visible solo en el panel administrativo de la cuenta: no aparece en la URL publica de verificacion, no se incluye en el certificado/constancia PDF y no se envia por correo. Materializa el "derecho a replica" del trabajador frente a su empleador.
- Auditoria — Cada verificacion registra fecha, hora, IP, user agent, coordenadas geograficas (cuando el firmante autoriza al navegador) y email destino del OTP.
Como funciona
Flujo para el firmante (primera vez)
- El usuario completa la capacitacion y dibuja su firma en el canvas.
- Se muestra la pantalla de observaciones donde puede agregar comentarios y debe ingresar su email.
- Se envia un codigo de 6 digitos al email ingresado.
- El usuario ingresa el codigo en la pantalla de verificacion.
- El certificado se activa y muestra un sello de verificacion digital.
Flujo para el firmante (siguientes veces)
- El usuario completa la capacitacion y dibuja su firma.
- En la pantalla de observaciones, se muestra el email verificado (enmascarado). Puede cambiarlo si lo necesita.
- El codigo se envia automaticamente al email verificado.
- Ingresa el codigo y el certificado se activa.
Cuando la funcionalidad esta deshabilitada
El flujo de firma funciona igual que antes: el usuario dibuja su firma y el certificado se activa inmediatamente, sin pasos adicionales.
Seguridad
| Medida | Detalle |
|---|---|
| Almacenamiento del codigo | Hash seguro, nunca en texto plano |
| Intentos maximos | 5 por codigo. Luego debe solicitar uno nuevo. |
| Expiracion | 10 minutos desde el envio |
| Reenvio | Cooldown de 60 segundos entre envios |
| Auditoria | Se registra IP, fecha y hora de verificacion |
Activar la funcionalidad
La verificacion de firma con 2FA es una funcionalidad opcional. Para habilitarla en tu cuenta, contacta a tu representante de SafetyPanel.
Donde se ve la verificacion
- Certificado (web publica) — Sello verde "Firma verificada digitalmente" con fecha y metodo (sin observaciones ni metadatos forensicos).
- Certificado (PDF) — Bloque de verificacion debajo de la firma con fecha, IP y metodo.
- Modal de certificado (admin) — Sello de verificacion visible al ver el certificado desde el panel administrativo, incluyendo las observaciones del firmante.
- Detalle de entrega de EPP (admin) — Bloque "Observaciones del firmante" debajo de los datos de la entrega. Coexiste con el bloque "Observaciones del emisor" (notas que carga el profesional o administrador al registrar la entrega). Ver Entrega de EPP.
- Perfil del usuario (admin) — Lista de metodos de verificacion registrados para cada usuario.
Visibilidad de las observaciones
Las observaciones del firmante (las que carga el trabajador al firmar) son siempre nota interna: solo se ven en el panel administrativo de la cuenta. No aparecen en URLs publicas de verificacion, no se incluyen en los PDFs descargables y no se notifican por correo. Esta separacion preserva la privacidad del "derecho a replica" del trabajador.
En entregas de EPP existe ademas un segundo campo, las observaciones del emisor (cargadas por el profesional o administrador al registrar la entrega), que si se imprimen en la constancia PDF como Campo 18 "Información adicional" del Anexo I de la Res. SRT 299/2011 — porque la SRT prevé ese campo como espacio del empleador. Ver Entrega de EPP — Observaciones.