Category

eIDAS

Nuevos OIDs de ETSI para políticas de servicios de validación de firma

By | #eIdAS, eIDAS, Electronic Signatures, OID, Qualified electronic signatures Validation, Servicios de Confianza Digital, Trust Electronic Services, Trust Service Providers | No Comments

El borrador de la nueva norma  ETSI TS 119 441 propone nuevos OIDs de ETSI para políticas de validación de firma:

  • itu-t(0) identified-organization(4) etsi(0) VAL SERVICE-policies(9441) policy-identifiers(1) main (1)
  • itu – t(0) identified – organization(4) etsi(0) VAL SERVICE – policies( 9 441) policy – identifiers(1) qualified (2)
Es decir:
  • OID 0.4.0.9441.1.1 como el OID principal para servicios de validación de firmas electrónicas y sellos electrónicos, y
  • OID 0.4.0.9441.1.2 como el OID para servicios cualificados de validación de firmas electrónicas y sellos electrónicos talcomo se define en loas artículos 32 y 33 del Reglamento UE 910/2014 (EIDAS)

Artículo 32

Requisitos de la validación de las firmas electrónicas cualificadas

1.   El proceso de validación de una firma electrónica cualificada confirmará la validez de una firma electrónica cualificada siempre que:

a)

el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b)

el certificado cualificado fuera emitido por un prestador de servicios de confianza y fuera válido en el momento de la firma;

c)

los datos de validación de la firma corresponden a los datos proporcionados a la parte usuaria;

d)

el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e)

en caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de la firma;

f)

la firma electrónica se haya creado mediante un dispositivo cualificado de creación de firmas electrónicas;

g)

la integridad de los datos firmados no se haya visto comprometida;

h)

se hayan cumplido los requisitos previstos en el artículo 26, en el momento de la firma.

2.   El sistema utilizado para validar la firma electrónica cualificada ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a la validación de las firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 33

Servicio de validación cualificado de firmas electrónicas cualificadas

1.   Solo podrá prestar un servicio de validación cualificado de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que:

a)

realice la validación de conformidad con el artículo 32, apartado 1, y

b)

permita que las partes usuarias reciban el resultado del proceso de validación de una manera automatizada que sea fiable, eficiente e incluya la firma electrónica avanzada o el sello electrónico avanzado del prestador cualificado de servicio de validación.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio de validación cualificado a que se refiere el apartado 1. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Aspectos del Reglamento UE 910/2014 EIDAS

By | eIDAS | No Comments

El  Reglamento UE 910/2014 eIDAS – Electronic Identity, Authentication and Signature (identificación electrónica, autenticación y firma electrónica) – tiene la delicada tarea de facilitar y estimular la creación de un marco único técnico-jurídico, consistente e interoperable a nivel europeo, con respecto a los Servicios Electrónicos de Confianza. Servicios, donde la confianza es crucial: firma electrónica, sellos electrónicos, la marcado de tiempo electrónico, documentos electrónicos y servicios de certificación para la autenticación Web.

Estos servicios están supervisados y controlados por los estados miembros, con el fin de garantizar la seguridad y la confianza en el mercado electrónico europeo.

En primer lugar, el Reglamento establece las condiciones bajo las cuales los Estados miembros deben reconocer los medios de identificación electrónica de los individuos en otro Estado miembro.

Aunque se preserva la autonomía de los estados miembros para decidir qué sistemas de identificación electrónicos se utilizan en su territorio para permitir el acceso a los servicios en línea, establece la obligación de garantizar el reconocimiento mutuo de los medios de identificación electrónica adoptados en otro estado, con la condición de que estos sistemas de identificación hayan sido notificados por el país que la impulsa a la Comisión y publicados en una lista especial de “esquemas identificación electrónica notificados”  (en virtud del artículo 9), y de que cumplan las condiciones relativas a los niveles de garantía requerida en cada servicio en linea.

De esta manera, una vez llevado a cabo el procedimiento de notificación, en una transacción transfronteriza caerá sobre el estado que notifica la responsabilidad por los daños causados intencionadamente o por negligencia, a cualquier persona o entidad, si se produce un incumplimiento de sus obligaciones (letras d y f del Artículo 7 del Reglamento).

En el capítulo III trata de los servicios de confianza e instituye   una plataforma legal común para los servicios de firma electrónica, de sello electrónico,  de marcado de tiempo electrónico, de servicios de transmisión electrónicos y de autenticación de sitios Web.

Establece con precisión las condiciones para iniciar un servicio de confianza cualificado y los requisitos que deben cumplir los Prestadores para poder emitir certificados cualificados y para prestar otros servicios de confianza digital e incluso los requisitos de seguridad que deben cumplir los proveedores de estos servicios.

Por último se establece que los Estados miembros deberán establecer un órgano de control con la función de supervisar los proveedores de servicios de confianza cualificados y no cualificados.

Entre otros aspectos interesantes recogidos en el Reglamento eIDAS cabe destacar las previsiones para la emisión y mantenimiento de las listas de confianza y la posibilidad de hacer uso de una marca de confianza de la UE para los servicios de confianza cualificados.

El legislador europeo requiere la creación, en cada Estado miembro, de un lista de confianza en la que se recogen todos los proveedores de servicios de confianza para los que se verifica y garantiza la condición de “cualificado” desde el momento de la solicitud de puesta en marcha de un servicio de confianza cualificado (la condición de cualificado debe mantenerse por el prestador mediante evaluaciones de conformidad bienales y otras actividades de supervisión posteriores).

Una vez incluido en la lista de confianza, un Prestador de Servicios Electrónicos de Confianza podrá usar el sello de confianza de la UE incluyendo un enlace a dicha lista, para presentar de manera sencilla y reconocible los servicios que ofrece.

Así se confirma la voluntad del legislador de la Unión de promoverun alto nivel de transparencia en el mercado,  y para tratar de aumentar la confianza en los servicios en línea y su viabilidad en beneficio de todos los usuarios.

El hecho de que el rango legal corresponda a un Reglamento implica que se trata de una medida legislativa con alcance general, obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, sin necesidad de una transposición a su ordenamiento legal.

A pesar de que ya ha entrado en vigor en sus definiciones y algunos aspectos, el Reglamento se aplicará plenamente a partir del 1 de julio de 2016, a fin de dar tiempo para que los estados puedan prepararse para la nueva normativa. Ciertas previsiones requieren de desarrollos legislativos adicionales y otras, como la obligatoriedad de aceptar sistemas de identificación notificados serán de aplicación a partir de 2018.

En España, el sistema [email protected] es un buen ejemplo de sistema de acreditación de identidad que podría desarrollarse, para cumplir los requisitos de EIDAS con un mayor alineamiento con la norma ISO 29115.

[email protected] es un sistema orientado a unificar y simplificar el acceso electrónico de los ciudadanos a los servicios públicos. Su objetivo principal es que el ciudadano pueda identificarse ante la Administración pública mediante claves concertadas (usuario y contraseña), sin tener que recordar claves diferentes para acceder a los distintos servicios.

[email protected] complementa los sistemas de acceso mediante DNI-e y certificado electrónico, y ofrece la posibilidad de realizar firma en la nube  con certificados personales custodiados en servidores remotos.

Fue formalizada por la Orden PRE/1838/2014, de 8 de octubre, por la que se publica el Acuerdo de Consejo de Ministros, de 19 de septiembre de 2014, por el que se aprueba [email protected], la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.