Category

Trust Service Providers

Nuevos OIDs de ETSI para políticas de servicios de validación de firma

By | #eIdAS, eIDAS, Electronic Signatures, OID, Qualified electronic signatures Validation, Servicios de Confianza Digital, Trust Electronic Services, Trust Service Providers | No Comments

El borrador de la nueva norma  ETSI TS 119 441 propone nuevos OIDs de ETSI para políticas de validación de firma:

  • itu-t(0) identified-organization(4) etsi(0) VAL SERVICE-policies(9441) policy-identifiers(1) main (1)
  • itu – t(0) identified – organization(4) etsi(0) VAL SERVICE – policies( 9 441) policy – identifiers(1) qualified (2)
Es decir:
  • OID 0.4.0.9441.1.1 como el OID principal para servicios de validación de firmas electrónicas y sellos electrónicos, y
  • OID 0.4.0.9441.1.2 como el OID para servicios cualificados de validación de firmas electrónicas y sellos electrónicos talcomo se define en loas artículos 32 y 33 del Reglamento UE 910/2014 (EIDAS)

Artículo 32

Requisitos de la validación de las firmas electrónicas cualificadas

1.   El proceso de validación de una firma electrónica cualificada confirmará la validez de una firma electrónica cualificada siempre que:

a)

el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b)

el certificado cualificado fuera emitido por un prestador de servicios de confianza y fuera válido en el momento de la firma;

c)

los datos de validación de la firma corresponden a los datos proporcionados a la parte usuaria;

d)

el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e)

en caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de la firma;

f)

la firma electrónica se haya creado mediante un dispositivo cualificado de creación de firmas electrónicas;

g)

la integridad de los datos firmados no se haya visto comprometida;

h)

se hayan cumplido los requisitos previstos en el artículo 26, en el momento de la firma.

2.   El sistema utilizado para validar la firma electrónica cualificada ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a la validación de las firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 33

Servicio de validación cualificado de firmas electrónicas cualificadas

1.   Solo podrá prestar un servicio de validación cualificado de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que:

a)

realice la validación de conformidad con el artículo 32, apartado 1, y

b)

permita que las partes usuarias reciban el resultado del proceso de validación de una manera automatizada que sea fiable, eficiente e incluya la firma electrónica avanzada o el sello electrónico avanzado del prestador cualificado de servicio de validación.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio de validación cualificado a que se refiere el apartado 1. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

PSEC: Prestadores de Servicios Electrónicos de Confianza Registrados en el marco de #eIdAS

By | Trust Service Providers | No Comments

La denominación “Prestador de Servicios Electrónicos de Confianza” (PSEC) creada al amparo del recientemente vigente Reglamento UE Nº 910/2014, deja obsoletas las denominaciones anteriores:

Los nuevos Prestadores de Servicios Electrónicos de Confianza se clasifican en tres niveles:

  1. Servicios cualificados electrónicos de confianza, registrados en el registro de PSEC de la SETSI (no pueden existir servicios electrónicos de confianza cualificados no registrados).
  2. Servicios electrónicos de confianza no cualificados, registrados en el registro de PSEC de la SETSI.
  3. Servicios electrónicos de confianza no cualificados y no registrados en el registro de PSEC de la SETSI.

Los Prestadores Cualificados de Servicios Electrónicos de Confianza  son supervisados por los Organismos de Supervisión.  En España, el organismo de supervisión es la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), del Ministerio de Industria, Energía y Turismo (Minetur).

Los prestadores cualificados de servicios electrónicos de confianza deben ser auditados, al menos cada 24 meses, por un organismo de evaluación de conformidad (Conformity Assessment Body). La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

Los prestadores cualificados de servicios electrónicos de confianza deben enviar el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.

Los Prestadores de Servicios Electrónicos de Confianza Registrados  suponen una categoría especial en cuanto a la supervisión de los servicios por la SETSI, ya que que prestan o bien  servicios que no tienen la condición de servicio de confianza cualificado, o bien servicios que no encajan en las definiciones de servicio de confianza según el Reglamento (UE) 910/2014.

Por la cualidad de servicios Notificados a la SETSI (y por tanto, incluidos en el Registro de Prestadores), su información se  publica en la página web del Ministerio de Industria, Energía y Turismo, aunque el Ministerio de Industria, Energía y Turismo no comprueba la alineación de los correspondientes servicios a la legislación aplicable en materia de servicios de confianza antes de su publicación.

Los Prestadores Registrados pueden recibir apercibimientos y solicitudes de información de la SETSI, si esta recibe algún tipo de queja por parte de los usuarios de los servicios de confianza implicados.

Algunos servicios, como los de Digitalización Certificada, no suelen notificarse a la SETSI, por lo que cabría considerarlos como No Registrados, y por tanto, fuera del ámbito de actuación del organismo supervisor.