Category

Sin categoría

Primer esquema eID liderado por el sector privado pre-notificado por Italia

By | #eIdAS, eID, Electronic Identification, Identificación electrónica, Sin categoría | No Comments

El pasado 7 de diciembre de 2017, Italia pre-notificó a la Comisión Europea su Sistema Público para la Gestión de la Identidad Digital (SPID), un esquema de identificación electrónica (eID) liderado por el sector privado. La pre-notificación del SPID cubre 8 prestadores de servicios de eID, incluidos 3 prestadores que emiten eIDs hasta un nivel de seguridad “alto”.

La pre-notificación del SPID por parte de Italia es un hecho relevante en un proceso que permitirá a los ciudadanos y empresas italianas utilizar las credenciales concedidas por el SPID para acceder a servicios públicos en otros Estados Miembros.

Italia es el segundo Estado miembro en pre-notificar su esquema nacional de identificación electrónica (eID), tras la notificación de Alemania el pasado septiembre.

La notificación de Italia es relevante, ya que es el primer esquema nacional de identificación electrónica liderado por el sector privado en ser notificado bajo el Reglamento eIDAS.

Próximos pasos

Tras la pre-notificación de Italia, los demás Estados miembros que participen en la Red de Cooperación podrán realizar una revisión inter pares del SPID, si así lo desean, que irá seguida de la notificación del esquema eID. Tras la publicación de la notificación por la Comisión Europea, los demás Estados miembros tendrán que reconocer los eIDs del SPID en un periodo máximo de 12 meses tras la publicación.

eIDAS

El Reglamento eIDAS proporciona un entorno normativo predecible que permite interacciones electrónicas seguras y sin interrupciones entre las empresas, los ciudadanos y las instituciones públicas de la UE. El Reglamento garantiza que las personas y las empresas puedan usar su propia identificación electrónica para acceder a los servicios públicos en aquellos países de la UE donde estén disponibles los eIDs.

Por favor, haga click aquí para acceder a la noticia.

La UE mejora la disponibilidad de servicios de Gobierno electrónico transfronterizos

By | Sin categoría | No Comments

El último Informe Comparativo de Administración electrónica de 2017 muestra una mejora significativa en la disponibilidad transfronteriza de servicios públicos digitales y la accesibilidad de los sitios web públicos desde dispositivos móviles en los Estados miembros de la UE. El estudio también indica una necesidad de mejora en la transparencia de la prestación de servicios públicos y el uso de tecnología de apoyo como eID o eDocuments.

Los países que mayor puntuación han obtenido han sido, por este orden, Malta, Dinamarca, Suecia, Estonia y Noruega. Estos países lideran el camino hacia la creación de un Mercado Digital Único.

 

Mapa de desempeño por países

El desempeño se mide en forma de media de las puntuaciones obtenidas por cada país en las siguientes cuatro áreas:

  • Centralidad del usuario (cómo de rápido y fácil es utilizar la información pública y los servicios online).
  • Transparencia (de las autoridades públicas, operaciones, procedimientos para la prestación de servicios y nivel de control que tienen los usuarios sobre sus datos personales).
  • Movilidad transfronteriza (en qué medida pueden utilizar los ciudadanos los servicios públicos fuera de su país).
  • Habilitadores clave (disponibilidad de eID, eDocuments y Authentic Sources, etc.).

La UE está cada vez más cerca del 100% del objetivo con respecto a la centralidad del usuario. Sin embargo, tiene menos puntuación en los otros tres puntos de referencia, especialmente en términos del aprovechamiento del potencial de los habilitadores claves para los servicios públicos.

 

Centralidad del Usuario

Es ha sido la dimensión más avanzada de los servicios públicos online de la UE en 2016. Este año, la UE ha experimentado un aumento del 12% en la disponibilidad de los servicios en línea. La brecha entre los países con peores y mejores resultados también se está cerrando.

Transparencia de organizaciones gubernamentales

La transparencia de los procesos de servicio de las organizaciones gubernamentales y el control ciudadano de los datos personales ha obtenido un promedio del 59% en la UE en 2016.

Por otro lado, el estudio refleja que la transparencia de los procesos de suministro de servicios fue insuficiente para el 50% de la población.

Suministro transfronterizo de servicios

Esta dimensión es esencial para el Mercado Digital Único y registra mejoras sólidas a lo largo de los años (+ 25% desde 2012). La información e incluso los servicios están cada vez más disponibles para los ciudadanos de la UE al iniciar un negocio o estudiar en otro país.

Habilitadores tecnológicos clave

El estudio revela que la implementación de habilitadores tecnológicos clave (es decir, eID, documentos electrónicos y Authentic Sources) ha obtenido el mayor margen de mejora (52% en la UE).

Por último, el indicador de Authentic Sources que facilita completar los formularios online, progresó más lentamente que otros indicadores, con sólo un 3% de crecimiento desde 2012.

Haga click aquí para acceder a la noticia.

Grado de implementación de eIDAS en la UE

By | Sin categoría | No Comments

El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior, que entró en vigor el pasado 1 de julio de 2016, ha vivido una implementación desigual en los países de la Unión Europea.

Analizamos el grado de implementación en los principales países de la UE:

 

  • Francia:

No existe todavía una ley nacional pero existen diferentes procedimientos y requisitos basados en la normativa ETSI.

Organismo supervisor: ANSSI (Agence nationale de la sécurité des systèmes d’information)

Link: www.ssi.gouv.fr

 

  • Alemania:

No existe todavía una ley nacional pero existen diferentes procedimientos y requisitos basados en la normativa ETSI.

Organismo supervisor: BSI (Federal Office for Information Security).

Link: www.bsi.bund.de

 

  • Bélgica:

Se aplica la ley nacional, sin vinculación con las normas ETSI o CEN.

Los Organismos de Evaluación de la Conformidad se acreditan según las Normas ISO / IEC 17065 + ETSI EN 319 403.

Organismo Supervisor: Service Publique fédéral Economie, PME, Classes Moyennes et Energie.

Link: economie.fgov.be/fr/

 

  • España:

Aplica la Ley 39/2015, de Procedimiento Administrativo Común. No existen procedimientos específicos para Prestadores de Servicios de Confianza.

Organismo Supervisor: Ministerio de Energía, Turismo y Agenda Digital (MINETUR).

Link: https://sede.minetur.gob.es/

 

  • Italia:

No existe una ley nacional, sino un sistema de acreditación nacional, basado en EN 319 403, administrado por ACCREDIA (2 CAB acreditados – VERITAS y CSQA).

Organismo supervisor: Agenzia per l’Italia Digitale.

Link: www.agid.gov.it/

 

  • Holanda:

No hay leyes nacionales, sino procedimientos nacionales para notificaciones de incumplimiento y acreditación del CAB.

Organismo Supervisor: Authority for Consumers and Markets y Agentschap Telecom.

Links: https://www.acm.nl/en y https://www.agentschaptelecom.nl/.

 

  • Reino Unido:

La ley nacional para la aplicación eIDAS define los procedimientos aplicables para cada tipo de servicio de confianza.

Organismo supervisor: The Information Commissioner.

Link: https://ico.org.uk/

 

Puede consultar la tabla completa en el siguiente link.

EIDAS cumple un año

By | Sin categoría | No Comments

El Reglamento (UE) nº 910/2014 (eIDAS), que entró en vigor en julio de 2016, ha cumplido recientemente un año de vida.

Analizamos las principales claves de un Reglamento que ha revolucionado las transacciones electrónicas en la Unión Europea:

 

  • La novedad principal de este nuevo Reglamento ha consistido en la armonización de los requisitos para el reconocimiento mutuo de la identificación electrónica a nivel comunitario (y, por tanto, la Derogación de la anterior Directiva 1999/93/EC y las respectivas leyes nacionales).

De esta forma, los Prestadores de Servicios de Confianza comunitarios pueden ofrecer sus servicios en cualquier otro país de la UE, eliminando las barreras anteriores. Por tanto, esta armonización contribuye especialmente a la creación del “mercado único digital” que, según previsiones de la UE, debe estar completamente en funcionamiento en 2020.

  • El Reglamento ha creado la “etiqueta de confianza de la UE”, que distingue claramente los servicios de confianza cualificados de los demás servicios de confianza.

 

  • Introduce el concepto de Prestadores Cualificados de Servicios de Confianza y Servicios Electrónicos de Confianza.

En concreto, ha creado los siguientes servicios cualificados (aquellos que cumplen con los requisitos aplicables en el Reglamento (UE) nº 910/2014): firmas electrónicas y sellos electrónicos. Las firmas electrónicas se destinan a personas físicas y los sellos electrónicos a personas jurídicas. Además, regula otros servicios de confianza como los sellos de tiempo electrónicos, documentos electrónicos, servicios de entrega electrónica y autenticación de sitio web.

Los Prestadores Cualificados de Servicios de Confianza obtienen este estado a través de un informe de evaluación de la conformidad y deben pasar una auditoría al menos cada 24 meses por un Organismo de Supervisión.

  • Especifica nuevos niveles de identificación electrónica, bajo y sustancial, que resultan útiles en mecanismos de identificación en diferentes contextos tecnológicos y de negocio, como firmas manuscritas en dispositivos móviles o soluciones de firma en la nube.
  • Introduce el concepto de Firma electrónica en tres niveles diferentes:

– Firma Electrónica: La definición de firma electrónica no se modifica bajo eIDAS. La firma electrónica tiene efectos legales y es admisible como prueba en procedimientos legales.

-Firma Electrónica Avanzada: Permite la identificación y autenticación única del firmante de un documento y permite comprobar la integridad del documento firmado. Normalmente, esta autenticación suele alcanzarse con la emisión de un certificado digital por una Autoridad de Certificación (CA).

-Firma Electrónica Cualificada: Son el equivalente electrónico de las firmas manuscritas. Se basan en Certificados Cualificados, que solo pueden ser emitidos por una CA acreditada por los Estados miembros de la UE y deben cumplir los requisitos de eIDAS. Estas son las únicas firmas que aseguran el reconocimiento mutuo de su validez por todos los Estados miembros de la UE.

 

  • Reconoce las firmas electrónicas como prueba en juicio en toda la UE.

Este concepto se refleja en el Artículo 25 de eIDAS, que establece que no se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada. De hecho, una firma electrónica cualificada tiene un efecto jurídico equivalente al de una firma manuscrita.

Además, una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

 

  • Reconoce la admisibilidad como prueba en un juicio y su efecto jurídico en todas las firmas electrónicas aunque solo equipara las firmas electrónicas cualificadas con las firmas manuscritas y a los sellos electrónicos cualificados les otorga la presunción de integridad y corrección del origen de los datos a los que el sello esté vinculado.

 

  • Introduce las Listas de Confianza (Trusted Lists), donde se recoge a los Prestadores de Servicios Electrónicos de Confianza cualificados y los servicios que ofrecen. Los PSCs y sus servicios solo serán cualificados si aparecen en estas listas.

 

  • Se regulan los dispositivos cualificados de creación de firma. Estos deben cumplir los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. La Comisión Europea establecerá, publicará y mantendrá una lista de dispositivos cualificados de creación de firma/sello electrónico con la información suministrada por los distintos Estados Miembros.

 

  • Se habilita la identificación remota en vez de presencial para la obtención de certificados de firma electrónica. Para asegurar la seguridad en los procesos, se utilizan otros medios de identificación como la identificación presencial previa, sellos electrónicos cualificados o certificados de firma electrónica cualificados.

 

  • Respecto a la auditoría de Prestadores de Servicios de Confianza, eIDAS establece que estos deben ser evaluados cada 24 meses por un Organismo de Evaluación de la Conformidad. La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

 

La introducción del Reglamento eIDAS era una necesidad a nivel comunitario, ya que antes de su entrada en vigor los documentos identificativos de los ciudadanos de un Estado Miembro no eran válidos en los otros Estados de la UE.

Por tanto, eIDAS facilita la prestación de servicios transfronterizos y permite a las empresas actuar fuera de sus fronteras. En última instancia beneficia a ciudadanos, empresas y Administraciones Públicas en tareas como el pago de impuestos, licitaciones públicas, firma de contratos online, transacciones económicas mediante banca electrónica y servicios de salud online, entre otros.

 

Fuente: Comisión Europea

Algunas claves del Reglamento nº 910/2014 (EIDAS)

By | Evaluación de conformidad, Sin categoría | No Comments

I.- Utilización de sistemas de identificación y firma de forma transfronteriza

La transposición de la Directiva 1999/93 se realizó de forma irregular y nunca ha parecido que estuviera suficientemente claro que los certificados de firma electrónica e identificación expedidos por los Prestadores de Servicios de Certificación de un Estado miembro tuvieran que ser admitidos por el resto de los estados, en particular en sus servicios de administración electrónica.

Desde el 1 de julio de 2016 por la aplicación directa del Reglamento UE 910/2014 este concepto queda aclarado definitivamente. Veremos cómo se va asumiendo en las implementaciones.

II.- Los PSC (Prestadores de Servicios de Certificación) se denominarán PSEC (Prestadores de Servicios Electrónicos de Confianza)

Ahora se denominan Prestadores de Servicios de Confianza. Y pueden expedir certificados cualificados (equivalentes a los certificados reconocidos de la Ley 59/2003) o certificados no cualificados.

Un tipo concreto de servicio de confianza es la expedición de certificados de persona física, (lo que es compatible con el servicio previsto en la Ley 59/2003) y entre ellos los certificados cualificados (en la citada ley se les llamaba “reconocidos”).

Debe presentarse al organismo de supervisión (en España, la Secretaría de Estado de Telecomunicaciones y Sociedad de la Información) una notificación de su intención junto con un informe de evaluación de la conformidad expedido por un Organismo de Evaluación de la Conformidad (en España, la Entidad Nacional de Acreditación). Si se le concede la posibilidad de expedir certificados cualificados, se le incluirá en una lista de confianza (que cada Estado Miembro publicará con información de todos los Prestadores Cualificados de Servicios de Confianza) y podrá usar la etiqueta de confianza “UE”, para indicar los servicios que presta.

Es de destacar que aumentan los mecanismos de control sobre todos los prestadores de servicios (tanto si expiden certificados cualificados como si no), los cuales serán auditados cada 24 meses para confirmar que cumplen con lo dispuesto en el Reglamento.

III.- La responsabilidad de los prestadores de servicios

Siguen siendo responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona en razn del incumplimiento de las obligaciones establecidas en el Reglamento. Sin embargo, se eliminan las limitaciones de la responsabilidad del artculo 23 de la Ley 59/2003, siendo la carga de la prueba (i) de la persona que alegue el daño, cuando el prestador expide certificados no cualificados, o (ii) del prestador de servicios que expide certificados cualificados, debiendo este probar que los perjuicios se produjeron sin intención ni negligencia alguna por su parte.

IV.- Los certificados de persona jurdica

El Reglamento no prevé la emisión de certificados de firma electrónica a favor de personas jurdicas o entidades sin personalidad jurdica. A este tipo de entidades reserva únicamente los sellos electrónicos, que permiten acreditar la autenticidad del origen y la integridad del documento sellado.

V.- Los nuevos servicios regulados

Aparte de la firma electrónica (definida, como en la Ley 59/2003, en 3 tipos, firma electrónica, avanzada y cualificada), el Reglamento también regula el sello electrónico (del que también se diferencian 3 tipos), el sello de tiempo electrónico, el servicio de entrega electrónica certificada, el documento electrónico y la autenticación del sitio web. El considerando 55 del Reglamento abre además la posibilidad de generar firmas electrónicas cualificadas como la firma móvil o la firma en nube, lo cual puede dinamizar enormemente el mercado de la firma electrónica.

Nueva taxonomía de servicios electrónicos de confianza digital tras el #eIdAS

By | Sin categoría | No Comments

El Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) es de aplicación completa el 1 de julio de 2016.

La información mostrada en la página web del Ministerio de Industria, Energía y Turismo (MINETUR) sobre los prestadores de servicios de certificación electrónica se ha adecuado a la nueva clasificación y categorías de servicios previstos en el citado Reglamento eIDAS.

Por ello, a partir del 1 de julio de 2016, el MINETUR publica una nueva versión de la base de datos de prestadores de servicios con la siguiente estructura:

A. Servicios electrónicos de confianza cualificados:

  • servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos cualificados de tiempo;
  • servicio cualificado de entrega electrónica certificada;
  • servicio cualificado de validación de firmas electrónicas cualificadas;
  • servicio cualificado de validación de sellos electrónicos cualificados;
  • servicio cualificado de conservación de firmas electrónicas cualificadas;
  • servicio cualificado de conservación de sellos electrónicos cualificados.

B. Servicios electrónicos de confianza no cualificados:

  • servicio de expedición de certificados electrónicos no cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos no cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos no cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos no cualificados de tiempo;
  • servicio no cualificado de entrega electrónica certificada;
  • servicio no cualificado de validación de firmas electrónicas;
  • servicio no cualificado de validación de sellos electrónicos;
  • servicio no cualificado de conservación de firmas electrónicas;
  • servicio no cualificado de conservación de sellos electrónicos.

C. Otros servicios:

Apartado en el que se publican los servicios relacionados con la firma electrónica que no tienen la condición de servicio de confianza según el Reglamento eIDAS pero que tendrían cabida en el marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, entre los que se encuentran los servicios de expedición de certificados electrónicos de persona jurídica o entidad sin personalidad jurídica, los servicios de expedición de certificados de componentes, los servicios de certificación de publicaciones o los servicios de contratación electrónica.

Adicionalmente, se proporciona la posibilidad de obtener información categorizada sobre los servicios de expedición de certificados electrónicos utilizados como sistemas de identificación y firma de las Administraciones Públicas (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público):

  • servicio de expedición de certificados electrónicos de sede electrónica de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de sello de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de empleado público.

Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales

By | Sin categoría | No Comments

TCAB (Trust Conformity Assessment Body) evaluará las medidas de control utilizadas en los entornos de “video onboarding” de las entidades financieras en el contexto de la reciente normativa publicada al efecto por el SEBPLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias).

video-onboarding-dniLa Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias , dependiente de la Secretaría de Estado de Economía y Apoyo a la Empresa del Ministerio de Economía y Competitividad, creada por la Ley 19/1993 de 28 de diciembre, es un órgano colegiado del que forman parte representantes de diferentes departamentos ministeriales y Agencias, el Ministerio Fiscal, así como de las Comunidades Autónomas. Es el máximo responsable del desarrollo de la política preventiva y de lucha contra el blanqueo de capitales en España. Actualmente se encuentra regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo.

La Comisión cuenta con el apoyo de la Secretaría, actualmente desempeñada por la Subdirección General de Inspección y Control de Movimientos de Capitales de la Secretaría General del Tesoro y Política Financiera, y del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

El SEPBLAC es la unidad de inteligencia financiera española y desempeña las actuaciones tendentes a la prevención e impedimento de la utilización del sistema financiero o de empresas o profesionales de otra naturaleza para el blanqueo de capitales, así como las funciones de investigación y prevención de las infracciones administrativas del régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado. Esta gestión ya ha sido realizada por TCAB.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

Es responsabilidad de los sujetos obligados seleccionar profesionales idóneos, así como verificar que el examen externo se realice en los términos establecidos en la Orden EHA/2444/2007, de 31 de julio.

TCAB es una entidad de evaluación de productos y servicios relacionados con la seguridad informática y, en particular, de Prestadores de Servicios Electrónicos de Confianza, en el marco de la normativa #eIdAS. Se rige por la norma ISO 17065 y por la norma EN 319 403 en la relativo a la evaluación de Prestadores.

Puede elaborar el Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales y la financiación del terrorismo. En particular en aplicación de la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA publicada por el SEBPLAC.

La citada autorización permite el empleo por los sujetos obligados de procedimientos de identificación no presencial mediante videoconferencia

PSEC: Prestadores de Servicios Electrónicos de Confianza Registrados en el marco de #eIdAS

By | Sin categoría | No Comments

La denominación “Prestador de Servicios Electrónicos de Confianza” (PSEC) creada al amparo del recientemente vigente Reglamento UE Nº 910/2014, deja obsoletas las denominaciones anteriores:

Los nuevos Prestadores de Servicios Electrónicos de Confianza se clasifican en tres niveles:

  1. Servicios cualificados electrónicos de confianza, registrados en el registro de PSEC de la SETSI (no pueden existir servicios electrónicos de confianza cualificados no registrados).
  2. Servicios electrónicos de confianza no cualificados, registrados en el registro de PSEC de la SETSI.
  3. Servicios electrónicos de confianza no cualificados y no registrados en el registro de PSEC de la SETSI.

Los Prestadores Cualificados de Servicios Electrónicos de Confianza  son supervisados por los Organismos de Supervisión.  En España, el organismo de supervisión es la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), del Ministerio de Industria, Energía y Turismo (Minetur).

Los prestadores cualificados de servicios electrónicos de confianza deben ser auditados, al menos cada 24 meses, por un organismo de evaluación de conformidad (Conformity Assessment Body). La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

Los prestadores cualificados de servicios electrónicos de confianza deben enviar el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.

Los Prestadores de Servicios Electrónicos de Confianza Registrados  suponen una categoría especial en cuanto a la supervisión de los servicios por la SETSI, ya que que prestan o bien  servicios que no tienen la condición de servicio de confianza cualificado, o bien servicios que no encajan en las definiciones de servicio de confianza según el Reglamento (UE) 910/2014.

Por la cualidad de servicios Notificados a la SETSI (y por tanto, incluidos en el Registro de Prestadores), su información se  publica en la página web del Ministerio de Industria, Energía y Turismo, aunque el Ministerio de Industria, Energía y Turismo no comprueba la alineación de los correspondientes servicios a la legislación aplicable en materia de servicios de confianza antes de su publicación.

Los Prestadores Registrados pueden recibir apercibimientos y solicitudes de información de la SETSI, si esta recibe algún tipo de queja por parte de los usuarios de los servicios de confianza implicados.

Algunos servicios, como los de Digitalización Certificada, no suelen notificarse a la SETSI, por lo que cabría considerarlos como No Registrados, y por tanto, fuera del ámbito de actuación del organismo supervisor.

Un gran paso en la interoperabilidad de firma: Decisión de Ejecución (UE) 2015/1506 de la Comisión de 8 de septiembre de 2015

By | Sin categoría | No Comments

La simplificación en la gestión de firmas electrónicas es ahora un mandato legal en todos los paises de la Unión Europea gracias a la Decisión de Ejecución (UE) 2015/1506 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27, apartado 5, y 37, apartado 5, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Esta norma tendrá un gran impacto en el desarrollo de la administración pública y obligará a revisar la Ley 11/2007, el RD 1671/2009 y el RD 4/2010, así como la política de firma electrónica de la AGE y su anexo de perfiles de certificados y alguna de las Normas Técnicas de Interoperabilidad.

Lo incluyo a continuación:

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (Ver Nota 1), y, en particular, sus artículos 27, apartado 5, y 37, apartado 5,

Considerando lo siguiente:

(1) Los Estados miembros deben establecer los medios técnicos necesarios que les permitan procesar los documentos firmados electrónicamente que son necesarios cuando se utiliza un servicio en línea ofrecido por, o en nombre de, un organismo del sector público.

(2) El Reglamento (UE) num 910/2014 obliga a los Estados miembros que requieran una firma electrónica avanzada o un sello electrónico avanzado para utilizar un servicio en línea ofrecido por, o en nombre de, un organismo del sector público a reconocer las firmas electrónicas avanzadas y los sellos electrónicos avanzados, las firmas electrónicas avanzadas y los sellos electrónicos avanzados basados en un certificado cualificado y las firmas electrónicas y los sellos electrónicos cualificados en formatos específicos o en formatos alternativos validados con arreglo a métodos de referencia específicos.

(3) Para definir los formatos y los métodos de referencia específicos, deben tenerse en cuenta las prácticas, las normas y los actos jurídicos de la Unión existentes.

(4) La Decisión de Ejecución 2014/148/UE de la Comisión (Ver Nota 2) ha definido una serie de formatos de firma electrónica avanzada más habituales que deben admitir técnicamente los Estados miembros cuando se necesiten firmas electrónicas avanzadas para un procedimiento administrativo en línea. La finalidad del establecimiento de los formatos de referencia es facilitar la validación transfronteriza de las firmas electrónicas y mejorar la interoperabilidad transfronteriza de los procedimientos electrónicos.

(5) Las normas recogidas en el anexo de la presente Decisión son las normas existentes para los formatos de firmas electrónicas avanzadas. Debido a la revisión en curso de los organismos de normalización de las versiones de archivo a largo plazo de los formatos de referencia, las normas que detallan el archivo a largo plazo se excluyen del ámbito de aplicación de la presente Decisión. Cuando esté disponible la nueva versión de las normas citadas, se revisarán las referencias a las normas y las cláusulas sobre archivo a largo plazo.

(6) Las firmas electrónicas avanzadas y los sellos electrónicos avanzados son similares desde el punto de vista técnico. Por lo tanto, las normas de los formatos de firmas electrónicas avanzadas deben aplicarse mutatis mutandis a los formatos de sellos electrónicos avanzados.

(7) En los casos en que se utilicen formatos de firma electrónica o sello electrónico distintos de los que se suelen admitir técnicamente para firmar o sellar, se deben proporcionar medios de validación que permitan la verificación transfronteriza de las firmas electrónicas o los sellos electrónicos. Para permitir que los Estados miembros receptores puedan confiar en las herramientas de validación de otro Estado miembro, es necesario proporcionar información de fácil acceso sobre dichas herramientas de validación, para lo que se debe incluir la información en los documentos electrónicos, en las firmas electrónicas o en los contenedores de documentos electrónicos.

(8) Cuando haya posibilidades de validación de firma electrónica o sello electrónico apropiadas para el tratamiento automático en los servicios públicos de un Estado miembro, esas posibilidades de validación deben ponerse a disposición y proporcionarse al Estado miembro receptor. No obstante, la presente Decisión no debe obstaculizar la aplicación del artículo 27, apartados 1 y 2, ni del artículo 37, apartados 1 y 2, del Reglamento (UE) num 910/2014 cuando no sea posible el tratamiento automático de las posibilidades de validación de métodos alternativos.

(9) Para establecer requisitos comparables para la validación y para aumentar la confianza en las posibilidades de validación proporcionadas por los Estados miembros para otros formatos de firma electrónica o sello electrónico distintos de los comúnmente admitidos, los requisitos previstos en la presente Decisión para las herramientas de validación parten de los requisitos para la validación de las firmas electrónicas y los sellos electrónicos cualificados a los que hacen referencia los artículos 32 y 40 del Reglamento (UE) no 910/2014.

(10) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado como se prevé en el artículo 27, apartados 1 y 2, del Reglamento (UE) no 910/2014, reconocerán la firma electrónica avanzada XML, CMS o PDF en el nivel de conformidad B, T o LT o con un contenedor con firma asociada donde las firmas cumplan las especificaciones técnicas que figuran en el anexo.

Artículo 2

1. Los Estados miembros que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado como se prevé en el artículo 27, apartados 1 y 2, del Reglamento (UE) no 910/2014, reconocerán otros formatos de firma electrónica distintos a los contemplados en el artículo 1 de la presente Decisión, siempre que el Estado miembro en el que tenga su sede el proveedor de servicios de confianza utilizado por el firmante ofrezca a otros Estados miembros posibilidades de validación de firmas adecuadas, en la medida de lo posible, para el tratamiento automático.

2. Las posibilidades de validación de la firma deberán:

a) permitir a los demás Estados miembros validar las firmas electrónicas recibidas en línea de manera gratuita y en una forma comprensible para los hablantes no nativos;

b) indicarse en el documento firmado, en la firma electrónica o en el contenedor del documento electrónico, y

c) confirmar la validez de una firma electrónica avanzada siempre que:

  1. el certificado que respalda la firma electrónica avanzada fuera válido en el momento de la firma, y cuando la firma electrónica avanzada esté respaldada por un certificado cualificado, que el certificado cualificado que respalda la firma electrónica avanzada fuera, en el momento de la firma, un certificado cualificado de la firma electrónica que se ajustara al anexo I del Reglamento (UE) no 910/2014 y que hubiera sido expedido por un proveedor de servicios de confianza cualificado;
  2. los datos de validación de la firma correspondan a los datos proporcionados a la parte usuaria;
  3. el conjunto único de datos que representa al firmante se facilite correctamente a la parte usuaria;
  4. en caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de la firma;
  5. cuando la firma electrónica avanzada se haya creado mediante un dispositivo de creación de firmas electrónicas cualificado, la utilización del mismo se indique claramente a la parte usuaria;
  6. la integridad de los datos firmados no se haya visto comprometida;
  7. los requisitos previstos en el artículo 26 del Reglamento (UE) no 910/2014 se cumplieran en el momento de la firma;
  8. el sistema utilizado para validar la firma electrónica avanzada ofrezca a la parte usuaria el resultado correcto del proceso de validación y le permita detectar cualquier problema que afecte a la seguridad.

Artículo 3

Los Estados miembros que requieran un sello electrónico avanzado o un sello electrónico avanzado basado en un certificado cualificado como se prevé en el artículo 37, apartados 1 y 2, del Reglamento (UE) no 910/2014 reconocerán el sello electrónico avanzado XML, CMS o PDF en el nivel de conformidad B, T o LT o con un contenedor con sello asociado que cumpla las especificaciones técnicas que figuran en el anexo.

Artículo 4

1. Los Estados miembros que requieran un sello electrónico avanzado o un sello electrónico avanzado basado en un certificado cualificado como se prevé en el artículo 37, apartados 1 y 2, del Reglamento (UE) no 910/2014 reconocerán otros formatos de sello electrónico distintos a los contemplados en el artículo 3 de la presente Decisión, siempre que el Estado miembro en el que tenga su sede el proveedor de servicios de confianza utilizado por el creador del sello ofrezca a otros Estados miembros posibilidades de validación de sellos adecuadas, en la medida de lo posible, para el tratamiento automático.

2. Las posibilidades de validación del sello deberán:

a) permitir a los demás Estados miembros validar los sellos electrónicos recibidos en línea de manera gratuita y en una forma comprensible para los hablantes no nativos;

b) indicarse en el documento sellado, en el sello electrónico o en el contenedor del documento electrónico;

c) confirmar la validez de un sello electrónico avanzado siempre que:

  1. el certificado que respalda el sello electrónico avanzado fuera válido en el momento del sellado y, cuando el sello electrónico avanzado esté respaldado por un certificado cualificado, que el certificado cualificado que respalda el sello electrónico avanzado fuera, en el momento del sellado, un certificado cualificado del sello electrónico que se ajustara al anexo III del Reglamento (UE) no 910/2014 y que hubiera sido expedido por un proveedor de servicios de confianza cualificado;
  2. los datos de validación del sello correspondan a los datos proporcionados a la parte usuaria;
  3. el conjunto único de datos que representa al creador del sello se facilite correctamente a la parte usuaria;
  4. en caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de aplicar el sello;
  5. cuando el sello electrónico avanzado se haya creado mediante un dispositivo de creación de sellos electrónicos cualificado, la utilización del mismo se indique claramente a la parte usuaria;
  6. la integridad de los datos sellados no se haya visto comprometida;
  7. los requisitos previstos en el artículo 36 del Reglamento (UE) no 910/2014 se cumplieran en el momento de aplicar el sello;
  8. el sistema utilizado para validar el sello electrónico avanzado ofrezca a la parte usuaria el resultado correcto del proceso de validación y le permita detectar cualquier problema que afecte a la seguridad.

Artículo 5

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

La presente Decisión será obligatoria en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 8 de septiembre de 2015.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

_________

(Nota 1) DO L 257 de 28.8.2014, p. 73.

(Nota 2) Decisión de Ejecución 2014/148/UE de la Comisión, de 17 de marzo de 2014, que modifica la Decisión 2011/130/UE, por la que se establecen los requisitos mínimos para el tratamiento transfronterizo de los documentos firmados electrónicamente por las autoridades competentes en virtud de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, relativa a los servicios en el mercado interior (DO L 80 de 19.3.2014, p. 7).

ANEXO

Lista de especificaciones técnicas para las firmas electrónicas avanzadas XML, CMS o PDF y el contenedor con firma asociada

Las firmas electrónicas avanzadas mencionadas en el artículo 1 de la Decisión deben cumplir una de las siguientes especificaciones técnicas del ETSI, con la excepción de la cláusula 9 de las mismas:

El contenedor con firma asociada mencionado en el artículo 1 de la Decisión debe cumplir las siguientes especificaciones técnicas del ETSI:

Lista de especificaciones técnicas para los sellos electrónicos avanzados XML, CMS o PDF y el contenedor con sello asociado

Los sellos electrónicos avanzados mencionados en el artículo 3 de la Decisión deben cumplir una de las siguientes especificaciones técnicas del ETSI, con la excepción de la cláusula 9 de las mismas:

El contenedor con sello asociado mencionado en el artículo 3 de la Decisión debe cumplir las siguientes especificaciones técnicas del ETSI:

Perfil de base del contenedor con sello asociado: ETSI TS 103174 v.2.2.1

AENOR publica la serie de normas UNE-EN 419211

By | Sin categoría | No Comments

La entrada en vigor del nuevo reglamento #eIdAS se acompasa con la publicación de diferentes normas técnicas relativas a la gestión de las firmas electrónicas y otros servicios electrónicos de confianza digital, de gran alcance, especialmente en Europa.

El nuevo marco legal europeo es homogéneo, aunque inestable en el momento actual mientras se esperan normas legales complementarias y la publicación de los estándares de nueva nomenclatura, basados con frecuencia en normas técnicas ya existentes.

Recientemente AENOR ha publicado la serie de normas UNE-EN 419211 “Perfiles de protección para los dispositivos seguros de creación de firma”, que se compone de 6 partes que tratan distintos tipos de dispositivos cualificados de creación de firma, especifica los requisitos operacionales y funcionales y los objetos de evaluación para los perfiles de protección de estos dispositivos.

De acuerdo con el Reglamento Europeo (UE) Nº 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), y su desarrollo a través de la Decisión de Ejecución (UE) 2016/650 de la Comisión, estas normas serán utilizadas en la certificación de los dispositivos cualificados de creación de firma, cuando los datos de creación de firma electrónica o los datos de creación de sello electrónico se conserven íntegramente, aunque no necesariamente de forma exclusiva, en un entorno gestionado por el usuario.