EIDAS cumple un año

By | Sin categoría | No Comments

El Reglamento (UE) nº 910/2014 (eIDAS), que entró en vigor en julio de 2016, ha cumplido recientemente un año de vida.

Analizamos las principales claves de un Reglamento que ha revolucionado las transacciones electrónicas en la Unión Europea:

 

  • La novedad principal de este nuevo Reglamento ha consistido en la armonización de los requisitos para el reconocimiento mutuo de la identificación electrónica a nivel comunitario (y, por tanto, la Derogación de la anterior Directiva 1999/93/EC y las respectivas leyes nacionales).

De esta forma, los Prestadores de Servicios de Confianza comunitarios pueden ofrecer sus servicios en cualquier otro país de la UE, eliminando las barreras anteriores. Por tanto, esta armonización contribuye especialmente a la creación del “mercado único digital” que, según previsiones de la UE, debe estar completamente en funcionamiento en 2020.

  • El Reglamento ha creado la “etiqueta de confianza de la UE”, que distingue claramente los servicios de confianza cualificados de los demás servicios de confianza.

 

  • Introduce el concepto de Prestadores Cualificados de Servicios de Confianza y Servicios Electrónicos de Confianza.

En concreto, ha creado los siguientes servicios cualificados (aquellos que cumplen con los requisitos aplicables en el Reglamento (UE) nº 910/2014): firmas electrónicas y sellos electrónicos. Las firmas electrónicas se destinan a personas físicas y los sellos electrónicos a personas jurídicas. Además, regula otros servicios de confianza como los sellos de tiempo electrónicos, documentos electrónicos, servicios de entrega electrónica y autenticación de sitio web.

Los Prestadores Cualificados de Servicios de Confianza obtienen este estado a través de un informe de evaluación de la conformidad y deben pasar una auditoría al menos cada 24 meses por un Organismo de Supervisión.

  • Especifica nuevos niveles de identificación electrónica, bajo y sustancial, que resultan útiles en mecanismos de identificación en diferentes contextos tecnológicos y de negocio, como firmas manuscritas en dispositivos móviles o soluciones de firma en la nube.
  • Introduce el concepto de Firma electrónica en tres niveles diferentes:

– Firma Electrónica: La definición de firma electrónica no se modifica bajo eIDAS. La firma electrónica tiene efectos legales y es admisible como prueba en procedimientos legales.

-Firma Electrónica Avanzada: Permite la identificación y autenticación única del firmante de un documento y permite comprobar la integridad del documento firmado. Normalmente, esta autenticación suele alcanzarse con la emisión de un certificado digital por una Autoridad de Certificación (CA).

-Firma Electrónica Cualificada: Son el equivalente electrónico de las firmas manuscritas. Se basan en Certificados Cualificados, que solo pueden ser emitidos por una CA acreditada por los Estados miembros de la UE y deben cumplir los requisitos de eIDAS. Estas son las únicas firmas que aseguran el reconocimiento mutuo de su validez por todos los Estados miembros de la UE.

 

  • Reconoce las firmas electrónicas como prueba en juicio en toda la UE.

Este concepto se refleja en el Artículo 25 de eIDAS, que establece que no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada. De hecho, una firma electrónica cualificada tiene un efecto jurídico equivalente al de una firma manuscrita.

Además, una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

 

  • Reconoce la admisibilidad como prueba en un juicio y su efecto jurídico en todas las firmas electrónicas aunque solo equipara las firmas electrónicas cualificadas con las firmas manuscritas y a los sellos electrónicos cualificados les otorga la presunción de integridad y corrección del origen de los datos a los que el sello esté vinculado.

 

  • Introduce las Listas de Confianza (Trusted Lists), donde se recoge a los Prestadores de Servicios Electrónicos de Confianza cualificados y los servicios que ofrecen. Los PSCs y sus servicios solo serán cualificados si aparecen en estas listas.

 

  • Se regulan los dispositivos cualificados de creación de firma. Estos deben cumplir los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. La Comisión Europea establecerá, publicará y mantendrá una lista de dispositivos cualificados de creación de firma/sello electrónico con la información suministrada por los distintos Estados Miembros.

 

  • Se habilita la identificación remota en vez de presencial para la obtención de certificados de firma electrónica. Para asegurar la seguridad en los procesos, se utilizan otros medios de identificación como la identificación presencial previa, sellos electrónicos cualificados o certificados de firma electrónica cualificados.

 

  • Respecto a la auditoría de Prestadores de Servicios de Confianza, eIDAS establece que estos deben ser evaluados cada 24 meses por un Organismo de Evaluación de la Conformidad. La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

 

La introducción del Reglamento eIDAS era una necesidad a nivel comunitario, ya que antes de su entrada en vigor los documentos identificativos de los ciudadanos de un Estado Miembro no eran válidos en los otros Estados de la UE.

Por tanto, eIDAS facilita la prestación de servicios transfronterizos y permite a las empresas actuar fuera de sus fronteras. En última instancia beneficia a ciudadanos, empresas y Administraciones Públicas en tareas como el pago de impuestos, licitaciones públicas, firma de contratos online, transacciones económicas mediante banca electrónica y servicios de salud online, entre otros.

 

Fuente: Comisión Europea

Algunas claves del Reglamento nº 910/2014 (EIDAS)

By | Evaluación de conformidad, Sin categoría | No Comments

I.- Utilización de sistemas de identificación y firma de forma transfronteriza

La transposición de la Directiva 1999/93 se realizó de forma irregular y nunca ha parecido que estuviera suficientemente claro que los certificados de firma electrónica e identificación expedidos por los Prestadores de Servicios de Certificación de un Estado miembro tuvieran que ser admitidos por el resto de los estados, en particular en sus servicios de administración electrónica.

Desde el 1 de julio de 2016 por la aplicación directa del Reglamento UE 910/2014 este concepto queda aclarado definitivamente. Veremos cómo se va asumiendo en las implementaciones.

II.- Los PSC (Prestadores de Servicios de Certificación) se denominarán PSEC (Prestadores de Servicios Electrónicos de Confianza)

Ahora se denominan Prestadores de Servicios de Confianza. Y pueden expedir certificados cualificados (equivalentes a los certificados reconocidos de la Ley 59/2003) o certificados no cualificados.

Un tipo concreto de servicio de confianza es la expedición de certificados de persona física, (lo que es compatible con el servicio previsto en la Ley 59/2003) y entre ellos los certificados cualificados (en la citada ley se les llamaba “reconocidos”).

Debe presentarse al organismo de supervisión (en España, la Secretaría de Estado de Telecomunicaciones y Sociedad de la Información) una notificación de su intención junto con un informe de evaluación de la conformidad expedido por un Organismo de Evaluación de la Conformidad (en España, la Entidad Nacional de Acreditación). Si se le concede la posibilidad de expedir certificados cualificados, se le incluirá en una lista de confianza (que cada Estado Miembro publicará con información de todos los Prestadores Cualificados de Servicios de Confianza) y podrá usar la etiqueta de confianza “UE”, para indicar los servicios que presta.

Es de destacar que aumentan los mecanismos de control sobre todos los prestadores de servicios (tanto si expiden certificados cualificados como si no), los cuales serán auditados cada 24 meses para confirmar que cumplen con lo dispuesto en el Reglamento.

III.- La responsabilidad de los prestadores de servicios

Siguen siendo responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona en razn del incumplimiento de las obligaciones establecidas en el Reglamento. Sin embargo, se eliminan las limitaciones de la responsabilidad del artculo 23 de la Ley 59/2003, siendo la carga de la prueba (i) de la persona que alegue el daño, cuando el prestador expide certificados no cualificados, o (ii) del prestador de servicios que expide certificados cualificados, debiendo este probar que los perjuicios se produjeron sin intención ni negligencia alguna por su parte.

IV.- Los certificados de persona jurdica

El Reglamento no prevé la emisión de certificados de firma electrónica a favor de personas jurdicas o entidades sin personalidad jurdica. A este tipo de entidades reserva únicamente los sellos electrónicos, que permiten acreditar la autenticidad del origen y la integridad del documento sellado.

V.- Los nuevos servicios regulados

Aparte de la firma electrónica (definida, como en la Ley 59/2003, en 3 tipos, firma electrónica, avanzada y cualificada), el Reglamento también regula el sello electrónico (del que también se diferencian 3 tipos), el sello de tiempo electrónico, el servicio de entrega electrónica certificada, el documento electrónico y la autenticación del sitio web. El considerando 55 del Reglamento abre además la posibilidad de generar firmas electrónicas cualificadas como la firma móvil o la firma en nube, lo cual puede dinamizar enormemente el mercado de la firma electrónica.

Nueva taxonomía de servicios electrónicos de confianza digital tras el #eIdAS

By | Sin categoría | No Comments

El Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) es de aplicación completa el 1 de julio de 2016.

La información mostrada en la página web del Ministerio de Industria, Energía y Turismo (MINETUR) sobre los prestadores de servicios de certificación electrónica se ha adecuado a la nueva clasificación y categorías de servicios previstos en el citado Reglamento eIDAS.

Por ello, a partir del 1 de julio de 2016, el MINETUR publica una nueva versión de la base de datos de prestadores de servicios con la siguiente estructura:

A. Servicios electrónicos de confianza cualificados:

  • servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos cualificados de tiempo;
  • servicio cualificado de entrega electrónica certificada;
  • servicio cualificado de validación de firmas electrónicas cualificadas;
  • servicio cualificado de validación de sellos electrónicos cualificados;
  • servicio cualificado de conservación de firmas electrónicas cualificadas;
  • servicio cualificado de conservación de sellos electrónicos cualificados.

B. Servicios electrónicos de confianza no cualificados:

  • servicio de expedición de certificados electrónicos no cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos no cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos no cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos no cualificados de tiempo;
  • servicio no cualificado de entrega electrónica certificada;
  • servicio no cualificado de validación de firmas electrónicas;
  • servicio no cualificado de validación de sellos electrónicos;
  • servicio no cualificado de conservación de firmas electrónicas;
  • servicio no cualificado de conservación de sellos electrónicos.

C. Otros servicios:

Apartado en el que se publican los servicios relacionados con la firma electrónica que no tienen la condición de servicio de confianza según el Reglamento eIDAS pero que tendrían cabida en el marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, entre los que se encuentran los servicios de expedición de certificados electrónicos de persona jurídica o entidad sin personalidad jurídica, los servicios de expedición de certificados de componentes, los servicios de certificación de publicaciones o los servicios de contratación electrónica.

Adicionalmente, se proporciona la posibilidad de obtener información categorizada sobre los servicios de expedición de certificados electrónicos utilizados como sistemas de identificación y firma de las Administraciones Públicas (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público):

  • servicio de expedición de certificados electrónicos de sede electrónica de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de sello de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de empleado público.

Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales

By | Sin categoría | No Comments

TCAB (Trust Conformity Assessment Body) evaluará las medidas de control utilizadas en los entornos de “video onboarding” de las entidades financieras en el contexto de la reciente normativa publicada al efecto por el SEBPLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias).

video-onboarding-dniLa Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias , dependiente de la Secretaría de Estado de Economía y Apoyo a la Empresa del Ministerio de Economía y Competitividad, creada por la Ley 19/1993 de 28 de diciembre, es un órgano colegiado del que forman parte representantes de diferentes departamentos ministeriales y Agencias, el Ministerio Fiscal, así como de las Comunidades Autónomas. Es el máximo responsable del desarrollo de la política preventiva y de lucha contra el blanqueo de capitales en España. Actualmente se encuentra regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo.

La Comisión cuenta con el apoyo de la Secretaría, actualmente desempeñada por la Subdirección General de Inspección y Control de Movimientos de Capitales de la Secretaría General del Tesoro y Política Financiera, y del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

El SEPBLAC es la unidad de inteligencia financiera española y desempeña las actuaciones tendentes a la prevención e impedimento de la utilización del sistema financiero o de empresas o profesionales de otra naturaleza para el blanqueo de capitales, así como las funciones de investigación y prevención de las infracciones administrativas del régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado. Esta gestión ya ha sido realizada por TCAB.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

Es responsabilidad de los sujetos obligados seleccionar profesionales idóneos, así como verificar que el examen externo se realice en los términos establecidos en la Orden EHA/2444/2007, de 31 de julio.

TCAB es una entidad de evaluación de productos y servicios relacionados con la seguridad informática y, en particular, de Prestadores de Servicios Electrónicos de Confianza, en el marco de la normativa #eIdAS. Se rige por la norma ISO 17065 y por la norma EN 319 403 en la relativo a la evaluación de Prestadores.

Puede elaborar el Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales y la financiación del terrorismo. En particular en aplicación de la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA publicada por el SEBPLAC.

La citada autorización permite el empleo por los sujetos obligados de procedimientos de identificación no presencial mediante videoconferencia