Nuevas guías orientativas de ENISA en el marco de #eIdAS

By ENISA Guidelines No Comments

La Agencia europea de seguridad ENISA está trabajando en 2016 en un conjunto conciso de directrices técnicas para facilitar la adopción del Reglamento eIDAS en los aspectos de carácter no obligatorio, pensando en su uso voluntario por los diferentes agentes involucrados: los prestadores de servicios electrónicos de confianza, los Organismos de Supervisión y los organismos de evaluación de conformidad.

Dentro de este ámbito, la Agencia ha preparado los siguientes documentos, que están en estado de borrador:

Se invita a los interesados a enviar comentarios a ENISA en referencia a los documentos mencionados anteriormente.

Los comentarios y opiniones deben dirigirse a: [email protected]

eIdAS: Evaluación de Conformidad de Prestadores de Servicios Electrónicos de Confianza

By Conformity Assessment No Comments

El cumplimiento de los requisitos del Reglamento UE 910/2014 (eIdAS) por parte de los prestadores cualificados de servicios electrónicos de confianza se traduce en el cumplimiento de varias normas técnicas que usará el auditor para evaluar a la entidad:

El evaluador, por ejemplo TCAB (Trust Conformity Assessment Body), debe estar acreditado en base a la norma EN 319403 basada a su vez en la norma ISO 17065.

Una vez el prestador recibe el CAR (Conformity Assessment Report) (en español, IEC, Informe de evaluación de la conformidad) debe presentarlo al organismo de supervisión, la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la información del Ministerio de Industria, Energía y Turismo.

Una vez, notificado el CAR, la SETSI incorporará la información del Prestador en la Lista de Confianza TSL, lo que implica el reconocimiento y admisibilidad de los servicios auditados en toda Europa.

 

Evaluación de soluciones de «Video onboarding» en el marco de la normativa del SEPBLAC

By Video onboarding No Comments

dni-video-onboardingTCAB (Trust Conformity Assessment Body) ha inscrito un experto en técnicas de gestión de identidad electrónica como evaluador en el marco de la normativa de prevención del blanqueo de capitales, supervisada por el SEPBLAC.

De este modo está en disposición de auditar las medidas de control utilizadas en los entornos de “video onboarding” de las entidades financieras en el contexto de la reciente normativa publicada al efecto por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (el ya citado SEPBLAC).

La Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias , dependiente de la Secretaría de Estado de Economía y Apoyo a la Empresa del Ministerio de Economía y Competitividad, creada por la Ley 19/1993 de 28 de diciembre, es un órgano colegiado del que forman parte representantes de diferentes departamentos ministeriales y Agencias, el Ministerio Fiscal, así como de las Comunidades Autónomas. Es el máximo responsable del desarrollo de la política preventiva y de lucha contra el blanqueo de capitales en España. Actualmente se encuentra regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo.

La Comisión cuenta con el apoyo de la Secretaría, actualmente desempeñada por la Subdirección General de Inspección y Control de Movimientos de Capitales de la Secretaría General del Tesoro y Política Financiera, y del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

El SEPBLAC es la unidad de inteligencia financiera española y desempeña las actuaciones tendentes a la prevención e impedimento de la utilización del sistema financiero o de empresas o profesionales de otra naturaleza para el blanqueo de capitales, así como las funciones de investigación y prevención de las infracciones administrativas del régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado. Esta gestión ya ha sido realizada por TCAB.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

Es responsabilidad de los sujetos obligados seleccionar profesionales idóneos, así como verificar que el examen externo se realice en los términos establecidos en la Orden EHA/2444/2007, de 31 de julio.

TCAB es una entidad de evaluación de productos y servicios relacionados con la seguridad informática y, en particular, de Prestadores de Servicios Electrónicos de Confianza, en el marco de la normativa #eIdAS (Reglamento Europeo UE 910/2014). Se rige por la norma ISO 17065 y por la norma EN 319 403 en la relativo a la evaluación de Prestadores.

Por su especialización y por las gestiones ya realizadas, puede elaborar el Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales y la financiación del terrorismo. En particular en aplicación de la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA publicada por el SEBPLAC.

La citada autorización permite el empleo por los sujetos obligados de procedimientos de identificación no presencial mediante videoconferencia con arreglo a las siguientes especificaciones:

  • Los procedimientos de identificación no presencial mediante videoconferencia únicamente serán aplicables a clientes provistos de los documentos fehacientes de identificación a que se refiere el artículo 6 del Reglamento de la Ley 10/2010.
  • Con carácter previo a la efectiva implantación de un procedimiento de identificación no presencial mediante videoconferencia, el sujeto obligado deberá realizar el análisis de riesgo específico a que se refiere el artículo 32.2 del Reglamento de la Ley 10/2010.
  • Con carácter previo a la efectiva implantación de un procedimiento de identificación no presencial mediante videoconferencia, el sujeto obligado documentará el procedimiento y testará su eficacia, reseñando por escrito los resultados. No se procederá a la implantación efectiva del procedimiento si los resultados de las pruebas no acreditan su eficacia.
  • Será responsabilidad del sujeto obligado implantar los requerimientos técnicos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.
  • Los procedimientos de identificación no presencial mediante videoconferencia deberán ser gestionados por personal con formación específica. Dicha formación, que será congruente con las funciones desempeñadas, deberá quedar acreditada de conformidad con lo dispuesto en el artículo 39 del Reglamento de la Ley 10/2010.
  • El proceso de identificación mediante videoconferencia deberá ser grabado con constancia de fecha y hora, conservándose la grabación de conformidad con lo dispuesto en el artículo 25 de la Ley 10/2010. El cliente deberá consentir expresamente la realización del procedimiento de identificación no presencial mediante videoconferencia y la grabación y conservación del proceso, con carácter previo o en el curso del mismo.
  • Durante el desarrollo de la videoconferencia, el sujeto obligado adoptará medidas que aseguren la privacidad de la conversación mantenida con el cliente.
  • En todo caso, en el curso de la videoconferencia el cliente objeto de identificación deberá exhibir visiblemente el anverso y reverso del documento empleado para su identificación.
  • El proceso de identificación no podrá completarse cuando (i) existan indicios de falsedad o manipulación del documento de identificación, o (ii) existan indicios de falta de correspondencia entre el titular del documento y el cliente objeto de identificación, o (iii) las condiciones de la comunicación impidan o dificulten verificar la autenticidad e integridad del documento de identificación y la correspondencia entre el titular del documento y el cliente objeto de identificación.
  • El sujeto obligado deberá obtener y conservar una fotografía o instantánea del anverso y reverso del documento de identificación utilizado. La fotografía o instantánea obtenida deberá reunir las condiciones de calidad y nitidez que permitan su uso en investigaciones o análisis y será conservada de acuerdo con lo establecido en el artículo 25 de la Ley 10/2010.
  • Con carácter previo a la ejecución de cualesquiera operaciones, el sujeto obligado verificará que el cliente no está sometido a sanciones o contramedidas financieras internacionales, en los términos establecidos en el artículo 42 de la Ley 10/2010.
  • La ejecución de los procedimientos de identificación no presencial mediante videoconferencia podrá ser externalizada, manteniendo el sujeto obligado la plena responsabilidad.
  • El informe de experto externo a que se refiere el artículo 28 de la Ley 10/2010 deberá pronunciarse expresamente sobre la adecuación y eficacia operativa del procedimiento de identificación no presencial mediante videoconferencia.
  • La presente autorización se entiende sin perjuicio del cumplimiento por los sujetos obligados de cualesquiera otras obligaciones legales, en particular en materia tributaria, de ordenación y disciplina, de información y protección del consumidor y de protección de datos de carácter personal.
  • Los procedimientos específicos de identificación no presencial mediante videoconferencia que los sujetos obligados establezcan al amparo de esta autorización no estarán sujetos a nueva autorización, sin perjuicio de que el Servicio Ejecutivo pueda proceder a su control en ejercicio de las potestades de supervisión e inspección que le atribuye el artículo 47 de la Ley 10/2010.

Nueva clasificación de servicios electrónicos de confianza digital tras el #eIdAS

By Digital Electronic Trust Services No Comments

El Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) es de aplicación completa el 1 de julio de 2016.

La información mostrada en la página web del Ministerio de Industria, Energía y Turismo (MINETUR) sobre los prestadores de servicios de certificación electrónica se ha adecuado a la nueva clasificación y categorías de servicios previstos en el citado Reglamento eIDAS.

Por ello, a partir del 1 de julio de 2016, el MINETUR publica una nueva versión de la base de datos de prestadores de servicios con la siguiente estructura:

A. Servicios electrónicos de confianza cualificados:

  • servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos cualificados de tiempo;
  • servicio cualificado de entrega electrónica certificada;
  • servicio cualificado de validación de firmas electrónicas cualificadas;
  • servicio cualificado de validación de sellos electrónicos cualificados;
  • servicio cualificado de conservación de firmas electrónicas cualificadas;
  • servicio cualificado de conservación de sellos electrónicos cualificados.

B. Servicios electrónicos de confianza no cualificados:

  • servicio de expedición de certificados electrónicos no cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos no cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos no cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos no cualificados de tiempo;
  • servicio no cualificado de entrega electrónica certificada;
  • servicio no cualificado de validación de firmas electrónicas;
  • servicio no cualificado de validación de sellos electrónicos;
  • servicio no cualificado de conservación de firmas electrónicas;
  • servicio no cualificado de conservación de sellos electrónicos.

C. Otros servicios:

Apartado en el que se publican los servicios relacionados con la firma electrónica que no tienen la condición de servicio de confianza según el Reglamento eIDAS pero que tendrían cabida en el marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, entre los que se encuentran los servicios de expedición de certificados electrónicos de persona jurídica o entidad sin personalidad jurídica, los servicios de expedición de certificados de componentes, los servicios de certificación de publicaciones o los servicios de contratación electrónica.

Adicionalmente, se proporciona la posibilidad de obtener información categorizada sobre los servicios de expedición de certificados electrónicos utilizados como sistemas de identificación y firma de las Administraciones Públicas (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público):

  • servicio de expedición de certificados electrónicos de sede electrónica de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de sello de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de empleado público.