Acceso al registro del MINETAD para PSEC

Tras la entrada en vigor de la Ley 39/2015 las personas jurídicas son sujetos obligados en el uso de medios de interlocución digital con las administraciones públicas.

Para los Prestadores de Servicios Electrónicos de Confianza (PSEC) el uso de medios digitales es natural y consustancial con su actividad.

A veces el problema radica en localizar el punto de acceso a los trámites correspondientes.

Las notificaciones que deben remitir a la Secretaría de Estado de Sociedad de la Información y Agenda Digital (SESIAD ) los prestadores de servicios electrónicos de confianza que inicien o presten servicios de confianza cualificados y no cualificados se canalizan a través de la página web que contiene el procedimiento de notificación.

La SESIAD, dependiente del MINETAD (Ministerio de Energía, Turismo y Agenda Digital) es el Organismo Supervisor contemplado en el Reglamento (UE) Nº 910/2014, y en la Ley 59/2003 de Firma Electrónica.

Aspectos institucionales tras la entrada en vigor de #eIdAS (Reglamento UE 910/2014)

¿Qué medidas tuvieron que implementarse a nivel nacional antes del 1 de julio de 2016?

El Reglamento UE 910/2014 es directamente aplicable en todos los 28 Estados Miembros de la Unión Europea. Sin embargo, los Estados Miembros deben asegurar que:

  • Se haya designado una autoridad nacional competente a cargo de la supervisión de los PSECs (un Organismo de Supervisión);
  • Se haya establecido un régimen sancionador efectivo;
  • Que el Organismo Nacional de Acreditación acredite a los Organismos de Evaluación de la Conformidad (según el Reglamento 765/2008);
  • Que se publica una Lista de Confianza nacional y se mantiene alineada con la Decisión de Ejecución (UE) 2015/1505;
  • Que los Organismos del Sector Público reconocen los formatos de las firmas electrónicas avanzadas y de los sellos electrónicos (según la Decisión de Ejecución (UE) 2015/1506).

¿Puede un Estado Miembro establecer medidas administrativas además de las previstas por EIDAS?

Las medidas administrativas adicionales, cuya adopción a nivel nacional depende de las prácticas administrativas existentes en el país, o la implementación legal de medidas podrá considerarse apropiada siempre que el enfoque nacional no impida el reconocimiento legal de los servicios de confianza prestados en otro Estado Miembro  y no obstaculice la interoperabilidad transfronteriza.

¿Cuál es el valor de las Listas de Confianza TSL con EIDAS?

Con el Reglamento EIDAS, las Listas de Confianza nacionales tienen un efecto constitutivo.

En otras palabras, un prestador/servicio será cualificado sólo si aparece en las Listas de Confianza. Por lo tanto, los usuarios (ciudadanos, empresas o administraciones públicas) se beneficiarán del efecto legal asociado con un servicio de confianza cualificado determinado si consta como cualificado en las Listas de Confianza.

 ¿Cuál es el papel y uso de las Listas de Confianza?

Las Listas de Confianza TSL son fundamentales para asegurar la certidumbre y dar confianza entre los operadores del mercado, ya que indican la condición de cualificados de los PSEC en el momento de la supervisión, así como detalles técnicos necesarios para que los sistemas informáticos puedan gestionar de forma automática los criterios de otorgamiento de confianza y tratarlos como sistemas de confianza en las implementaciones técnicas de sistemas que confían en los certificados y en el resto de servicios cualificados.

Las Listas de Confianza TSL  del servicio fomentan la interoperabilidad de los servicios de confianza cualificados facilitando la verificación de firmas y sellos electrónicos, entre otros aspectos.

¿Los navegadores web podrían utilizar las Listas de Confianza?

Bajo el Reglamento EIDAS, no hay obligación para los desarrolladores de navegadores web de reconocer, integrar y hacer uso de las Listas de Confianza en sus productos. Sin embargo, dado el papel de EIDAS y de las Listas de Confianza TSL en el impulso del Mercado Digital único, existen grandes expectativas del uso de las Listas de Confianza por los navegadores web existentes para asegurar que se verifica la confianza en las transacciones digitales para beneficio de los ciudadanos y las empresas de la UE.

Dado el valor constitutivo de las Listas de Confianza como pilar legal para las transacciones de confianza, cualquier comunicación errónea, engañosa o imprecisa respecto al resultado de la validación de un certificado podría conllevar responsabilidades.

¿Qué ha hecho la Comisión Europea para facilitar la transición al nuevo régimen de servicios de confianza?

Desde la adopción del Reglamento UE 910/2014 en julio de 2014, la Comisión ha estado trabajando en estrecha cooperación con numerosos interesados tanto del sector público como del privado para asegurar una implementación gradual de las nuevas normas.

Las consultas más habituales se han centrado en la sensibilización, interiorizando cómo pueden afectar los rápidos desarrollos tecnológicos a la prestación del servicio y cuáles son las necesidades de la industria y del comercio.

En este contexto, la Comisión Europea ha realizado varios eventos de alto nivel, ha publicado blogs y ha establecido una plataforma colaborativa.

 ¿Cuál es el plan de la Comisión Europea respecto a otros actos de ejecución como los ya publicados, que impongan requisitos legales adicionales como parte del desarrollo del Reglamento EIDAS?

La Comisión no ha planificado adoptar otros actos de ejecución en un futuro cercano.

Sin embargo, la Comisión tendrá en cuenta las necesidades de los interesados y revisará cuidadosamente los resultados en base a otros enfoques más flexibles, como el esquema de acreditación de la UE desarrollado por la Cooperación Europea para la Acreditación o las guías de las notificaciones de brechas de seguridad (Artículo 19), desarrollado por ENISA.

¿Qué pasa con los aspectos internacionales relacionados con los servicios de confianza establecidos en EIDAS?

Los servicios de confianza no cualificados prestados por PSECs establecidos en países no UE pueden circular libremente en la UE bajo el Reglamento, pero no se beneficiarán del estado de cualificados.

Por otro lado, los servicios de confianza prestados por PSECs establecidos en un tercer país deben considerarse legalmente equivalentes a los servicios de confianza cualificados prestados por PSECs cualificados de la Unión Europea, si hay un acuerdo entre la UE y el país de origen del prestador (o una organización internacional), siempre que, por el principio de reciprocidad, lo mismo aplique a los servicios de confianza prestados por los PSECs cualificados de la UE en ese tercer país.

En ese sentido, debe destacarse que las negociaciones de este acuerdo internacional sólo pueden iniciarlas las autoridades que representen oficialmente a la UE, a su Estado o a su Organización Internacional.

 ¿El Reglamento EIDAS es aplicable a las instituciones de la Unión Europea?

El Reglamento no es aplicable a las instituciones de la UE que se rigen por sus propias reglas de procedimiento.

La Comisión Europea está regulada en la actualidad por la Decisión 2004/563/EC (que se ha integrado en sus normas de procedimiento), estableciendo las propias disposiciones de la Comisión sobre documentos electrónicos y digitalizados para cubrir todos los documentos electrónicos nativos y documentos electrónicos que resulten de la digitalización de documentos que se encontraban originalmente en medio físico.

Además, el Considerando 69 del Reglamento EIDAS impulsa a que las instituciones, organismos, oficinas y agencias de la UE “reconozcan la identificación electrónica y los servicios de confianza recogidos en el Reglamento con el fin de cooperar administrativamente…”.

En este sentido, debe destacarse que el sistema de identificación de personas físicas y jurídicas utilizado por la Comisión (llamado ECAS) ya ofrece la posibilidad de utilizar medios de identificación electrónica (eID), si bien la Comisión está trabajando en el reconocimiento de los nuevos servicios de confianza establecidos en EIDAS.

Más información (en inglés) en el sitio web de la Comisión Europea.

 

 

Preguntas y respuestas sobre #eIdAS (Reglamento UE 910/2014)

trust-services-euEl Reglamento EIDAS (Reglamento (UE) nº 910/2014) sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno (Reglamento EIDAS) adoptados por los colegisladores el 23 de julio de 2014 es un hito, ya que aporta un entorno jurídico predecible para la identificación electrónica y los servicios de confianza, incluidas las firmas electrónicas, sellos, sellos de tiempo, entrega certificada y autenticación de sitio web.

Desde el 1 de julio de 2016, las disposiciones aplicables a los servicios de confianza son de obligado cumplimiento de forma directa en los 28 Estados Miembros.

Esto significa que los servicios de confianza regulados por EIDAS ya no se regulan por las legislaciones nacionales (lo que implica una derogación parcial implícita de sus legislaciones). Como resultado, los servicios de confianza cualificados son reconocidos independientemente del Estado Miembro donde el PSEC (Prestador de Servicios Electrónicos de Confianza) cualificado esté establecido o donde se preste el servicio de confianza cualificado.

¿Qué novedades hay? ¿Qué cambios hay en relación con la antigua Directiva de Firma Electrónica? ¿Qué debe hacerse a nivel nacional? ¿Cómo impacta en los operadores del mercado? ¿Cómo puede beneficiar a los usuarios (ciudadanos, empresas y administraciones públicas)? ¿Qué ha hecho la Comisión Europea para facilitar la transición? Estas preguntas se han hecho  en estos últimos meses desde la adopción del Reglamento.

Hemos realizado este documento de Preguntas y Respuestas para aquellos que necesitan entender completamente el nuevo marco jurídico para implementar o recoger los beneficios de las transacciones electrónicas, así como para aquellos que sienten  curiosidad sobre las numerosas implicaciones del Reglamento.

¿Cómo cambiará el efecto jurídico de la firma electrónica con EIDAS, comparado con el régimen de  la Directiva de firma electrónica (Directiva 1999/93/ce del Parlamento Europeo y del Consejo de 13 de diciembre de 1999) desde el 1 de julio de 2016?

Desde el 1 de julio de 2016, cuando las disposiciones del Reglamento EIDAS entraron en vigor, la firma electrónica sólo puede ser empleada por una persona física para “firmar”, por ejemplo, principalmente para expresar consentimiento sobre los datos en relación a los que se firma. Esto representa una diferencia significativa respecto a la Directiva de Firma Electrónica, en la que la firma electrónica también podía ser empleada por las personas jurídicas como medio de autenticación.

Con EIDAS, el “firmante” es una persona física que crea una firma electrónica. Por lo tanto, los certificados para firmas electrónicas ya no pueden ser emitidos a personas jurídicas. Las personas jurídicas pueden utilizar certificados para sellos electrónicos (cuyo objetivo no es firmar pero aseguran la integridad y origen de los datos).

¿Qué pasa con los certificados cualificados emitidos a personas jurídicas bajo la Directiva de Firma Electrónica a partir del 1 de julio de 2016? Los antiguos certificados de firma electrónica cualificados  emitidos a personas jurídicas no se pueden utilizar para crear una firma electrónica (cualificada) válida a partir del 1 de julio de 2016.

¿Qué pasa con los certificados cualificados válidos para firma electrónica emitidos a personas físicas bajo la Directiva de Firma Electrónica, tras el cambio de normativa? Bajo EIDAS, se prevé una medida transitoria para certificados cualificados de firma electrónica para personas físicas que hayan sido emitidos bajo la Directiva 1999/93/EC. Estos serán considerados certificados cualificados para firmas electrónicas bajo el Reglamento EIDAS hasta que expiren.

Además de la firma electrónica, ¿qué otros servicios de confianza desaparecen bajo EIDAS? EIDAS regula a nivel de la UE servicios de confianza adicionales que han surgido en cierto número de Estados Miembros desde que se adoptó la Directiva de firma electrónica en 1999.

  1. Sellos electrónicos

Sólo pueden obtenerlos y utilizarlos personas jurídicas para asegurar el origen y la integridad de los datos y documentos. Por lo tanto, un sello electrónico NO es una firma electrónica de persona jurídica.

Cuando una persona jurídica utiliza sellos electrónicos, se recomienda implementar un mecanismo de control interno que asegure que sólo las personas físicas que tengan derecho a actuar en nombre de la persona jurídica puedan utilizar sellos electrónicos.

  1. Sello de tiempo

Los sellos de  tiempo electrónicos se emiten para asegurar la preexistencia relativa a un momento concreto de ciertos datos documentos.

  1. Verificación y Validación

La validación es un servicio secundario para las firmas electrónicas y los sellos electrónicos. Es el proceso que confirma la validez de una firma electrónica o sello electrónico (cualificado). Este proceso implica la verificación de que la firma electrónica y el sello electrónico (cualificados) cumplen los requisitos del Reglamento para confirmar su validez. El Reglamento también cubre la verificación y validación de certificados para autenticación de sitio web.

  1. Conservación de firmas electrónicas, sellos electrónicos o certificados relacionados con servicios de confianza.

El Reglamento EIDAS establece normas para la conservación de firmas electrónicas, sellos electrónicos o certificados vinculados a servicios de confianza. La conservación es diferente al archivo electrónico (que no es un servicio electrónico bajo EIDAS). Lo que diferencia a ambas son los objetivos del proceso en uno y otro caso:

  • El objetivo de la conservación bajo EIDAS consiste en garantizar la integridad de una firma electrónica cualificada o un sello electrónico a lo largo del tiempo. Por lo tanto, la tecnología subyacente a este servicio de confianza se dirige a la firma electrónica o sello;
  • El archivo electrónico se encarga de asegurar que un documento se almacena para garantizar su integridad (y otras características legales). La tecnología subyacente en el archivo electrónico se dirige al documento. El archivo de documentos sigue siendo competencia de los Estados Miembros.

En otras palabras, el archivo electrónico de documentos y la conservación de firmas electrónicas y sellos electrónicos son diferentes debido a su naturaleza, y se basan en diferentes soluciones técnicas (adjunto al documento o a la firma o sello electrónico) y difieren en su finalidad (la conservación del documento frente a la conservación de la firma/sello electrónico).

  1. Servicio de entrega electrónica certificada

Este es un canal seguro para la transmisión de documentos que aporta evidencia del momento de envío y recepción del mensaje. Sin embargo, el Reglamento no establece la equivalencia entre los servicios de entrega electrónica certificada (cualificados) y el correo postal certificado definidos en la Directiva Postal. Los Estados Miembros siguen siendo libres para establecer esta equivalencia a nivel nacional. En otras palabras, cuando una ley exija el cumplimiento de un procedimiento específico mediante el envío de un correo postal certificado, el uso de servicios de entrega electrónica certificada (cualificados) cumpliría este requisito sólo si la ley nacional estableciese la equivalencia.

¿Quién es el remitente? ¿Quién es el destinatario?

El remitente (así como el destinatario) es el identificado por el Prestador de Servicios de Confianza, probablemente el propietario del buzón de correo. Cuando el buzón pertenezca a una persona jurídica (o una persona física diferente), se deben seguir las normas aplicables a la representación de las personas jurídicas (o físicas) (depende de la persona física/jurídica establecer un sistema de gestión adecuado para  el buzón de correo).

¿Debería ser electrónica la identificación del remitente y/o el destinatario?

La identificación no se limita a la identificación electrónica del remitente y del destinatario ni a los eIDs (medios de identificación electrónica) establecidos por EIDAS al identificarse de forma electrónica. El informe de evaluación de la conformidad debe mostrar que el proceso de identificación establecido por el PSEC cualificado cumple con los requisitos del Reglamento y el Organismo de Supervisión debe comprobarlo durante el “inicio de los servicios de confianza cualificados” establecido en el Artículo 21 del Reglamento. Esta identificación también profundiza en el modelo económico/de negocio del PSEC. En efecto, un PSEC cualificado que preste servicios de entrega electrónicos registrados puede decidir prestar servicios por su cuenta o en cooperación con otros prestadores de servicios cualificados. Además, el PSEC puede decidir identificar y registrar a sus clientes sólo una vez y de forma permanente o, por el contrario, permitir que cada cliente se identifique por cada mensaje que quiera enviar. Respecto a los eIDs notificados, los PSECs cualificados podrán confiar en ellos si lo considerasen apropiado en relación con su modelo de negocio y dado que en organismo de evaluación de la conformidad y el organismo de supervisión consideran que este proceso de identificación cumple con los requisitos establecidos en el Reglamento.

  1. Autenticación de sitio web

Los certificados para autenticación de sitio web se emiten para asegurar a los usuarios (especialmente a los ciudadanos particulares y las PYMEs) que, tras el sitio web, se encuentra una persona jurídica identificable mediante información fidedigna. El Reglamento establece requisitos claros para que los certificados de autenticación de sitio web  sean considerados de confianza y, además, establece obligaciones mínimas para los prestadores de estos certificados en relación a la seguridad de sus operaciones, su responsabilidad y su régimen de supervisión (flexible). En consecuencia, el Reglamento asegura la transparencia respecto a la calidad del servicio que se ofrece a los usuarios, la responsabilidad de los prestadores en relación a la seguridad de sus servicios, integridad de los datos asociados a los sitios web autenticados y neutralidad tecnológica de servicios y soluciones.

¿Cómo se validan los certificados cualificados para autenticación web?

La única fuente necesaria para comprobar si los certificados cualificados para autenticación web son confiables es la Lista de Confianza (Trusted List) que los Estados Miembros deben establecer, mantener y publicar. La UE proporcionará una “Lista de Listas” consolidada.

¿Pueden aplicar las empresas sus propias políticas?

Por cuestión de principios, la industria está obligada en primer lugar a aplicar la ley y, sólo después, (cuando sea compatible) aplicar sus propias políticas.

¿Cuál es el valor añadido de los certificados cualificados para Autenticación Web en comparación con los certificados SSL/TLS existentes?

Los certificados cualificados para autenticación de sitio web son similares a los certificados EV (de “Extended Validation” o validación extendida).  El valor añadido procede de los requisitos del Reglamento respecto a:

  • La gestión del riesgo y las estrictas obligaciones de seguridad aplicables al PSEC junto a un régimen de responsabilidad claro;
  • Obligaciones legales respecto a la correcta identificación de la persona que solicita el certificado; y
  • Un modelo de supervisión que asegure la correcta implementación de los requisitos por PSECs cualificados.

Una diferencia adicional es que los certificados cualificados para autenticación de sitio web pueden ser emitidos a personas físicas mientras que los certificados existentes sólo pueden emitirse a personas jurídicas (según las guías EV). En la UE, el Reglamento aplica sobre las políticas corporativas. Esta diferencia de naturaleza legal no está relacionada con los aspectos técnicos o la integridad del certificado emitido.

¿Deben los PSECs ofrecer todos los servicios de confianza en conjunto?

No, es una decisión de negocio que debe tomar el PSEC sobre si quiere prestar uno, más de uno o todos los servicios de confianza.

¿Cuáles son las normas sobre documentos electrónicos con el Reglamento EIDAS?

El Reglamento EIDAS establece el principio de no discriminación de los efectos legales y admisibilidad de los documentos electrónicos en los procedimientos legales. Esta es la primera vez que se regula a nivel UE la no discriminación de documentos electrónicos.

¿Cómo se asegura una transición suave de la Directiva de  Firma Electrónica de 1999 al régimen EIDAS?

El Reglamento EIDAS proporciona medidas transitorias (Artículo 51) para asegurar la continuidad y la seguridad jurídica de los productos y servicios asociados a la firma electrónica que estuvieran bajo la Directiva 1999/93/EC. En resumen, los dispositivos de creación de firma segura y los certificados cualificados para firmas electrónicas para personas físicas que se consideren conformes con la Directiva antes del 1 de julio de 2016 se considerarán conformes con el Reglamento hasta que expiren. De forma similar, si se consideran conformes con la Directiva antes del 1 de julio de 2016, los PSEC que emitan certificados cualificados para firmas electrónicas se beneficiarán de un periodo de transición de 1 año para adaptar sus sistemas a los nuevos requisitos (hasta julio de 2017) durante  el cual se considerarán conformes con el Reglamento.

¿Qué no estará cubierto por las medidas transitorias?

Hay pocos casos que no estén cubiertos por el Reglamento EIDAS, entre otros:

  • Certificados existentes (cualificados o no) para firmas electrónicas emitidas a personas jurídicas: bajo el Reglamento EIDAS, las firmas electrónicas sólo pueden ser emitidas a y utilizadas por personas jurídicas, de formas que los antiguos certificados válidos ya no lo son.
  • Los PSECs existentes que sólo presten otros servicios de confianza, salvo los de firma electrónica, que fueran reconocidos como “cualificados” bajo regímenes nacionales: desde el 1 de julio de 2016, estos PSECs se consideran no cualificados bajo EIDAS salvo que hayan comenzado el proceso de iniciación para los servicios de confianza cualificados establecido en el Reglamento EIDAS.

¿Pueden los Estados Miembros regular a nivel nacional otros servicios de confianza que no estén incluidos en EIDAS?

Sí, los Estados Miembros pueden hacerlo. El Reglamento EIDAS (Considerando 25) permite a los Estados Miembros definir otros tipos de servicios de confianza además de aquellos recogidos en el Reglamento EIDAS. Estos servicios de confianza “adicionales” quedan fuera del alcance del Reglamento EIDAS y no tienen efectos jurídicos transfronterizos. Estos servicios de confianza definidos a nivel nacional pueden ser también “cualificados” y, si los Estados Miembros lo decidieran así, pueden quedar indicados como un servicio de confianza nacional “cualificado” en la Lista de Confianza Nacional.

¿Pueden los Estados Miembros restringir el tipo de firma electrónica requerida para un servicio público o transacción online?

Esto cubre posibilidades como solo permitir firmas electrónicas cualificadas para firmar una solicitud para iniciar procedimientos legales ante un tribunal competente o firmar un contrato de alquiler online. Los Estados Miembros son libres de decidir qué tipo de firmas electrónicas se requieren para un determinado servicio público o transacción online sin perjuicio de las obligaciones que deriven de otras legislaciones. Sin embargo, sí que existen ciertas obligaciones cuando los Estamos Miembros requieren firmas electrónicas avanzas o firmas electrónicas avanzadas basadas en un certificado cualificado para usar servicios online provistos por organismos del sector público (Artículo 24).

El principio anterior de que los EMs son libres para decidir sobre el nivel de seguridad para un determinado servicio público online o transacción también aplica a los otros servicios de confianza reflejados en EIDAS.

¿Qué significan las cláusulas de no discriminación?

El Reglamento EIDAS establece el principio de no discriminación de los efectos legales y la admisibilidad de las firmas electrónicas, sellos electrónicos, sellos de tiempo electrónicos, servicios de entrega electrónicos registrados y documentos electrónicos como evidencia en los procedimientos legales. Los tribunales (u otros organismos a cargo de los procedimientos legales) no pueden descartarlos como evidencia sólo porque sean electrónicos. Sin embargo, los tribunales deben comprobar si hay algún procedimiento a seguir según la UE o la ley nacional (general o sectorial) para un documento determinado (incluyendo los posibles requisitos sobre el uso de niveles específicos de herramientas electrónicas) y pueden descartarlos basándose en estos motivos. En otras palabras, la cláusula de no discriminación no quiere decir que cada procedimiento pueda llevarse a cabo de forma electrónica. Significa que los Juzgados tienen que evaluar estas herramientas electrónicas de la misma manera que lo harían con su equivalente en papel.

¿Es el archivo electrónico un servicio de confianza bajo EIDAS?

No, el archivo electrónico no es un servicio de confianza bajo EIDAS. Sin embargo, el Reglamento establece normas para la conservación de firmas electrónicas, sellos o certificados relacionados con servicios de confianza.

¿Cuáles son las principales diferencias entre los servicios de confianza cualificados y no cualificados?

Desde un punto de vista legal, tanto los servicios de confianza cualificados como los no cualificados se benefician de una cláusula de no discriminación como evidencia en los Tribunales. En otras palabras, el juez no puede descartar los servicios de confianza sólo porque sean electrónicos.

Sin embargo, por los requisitos más restrictivos aplicables a los PSECs cualificados, los servicios de confianza cualificados proporcionan un efecto legal específico más fuerte que los no cualificados así como una seguridad técnica más alta. Los servicios de confianza cualificados, por lo tanto, proporcionan una mayor seguridad jurídica y una mayor seguridad en las transacciones electrónicas.

¿Cómo se concede el estado de cualificado?

  • Un Organismo de evaluación de la conformidad acreditado “EIDAS” evalúa la conformidad del PSEC y del servicio de confianza cualificado que quiere prestar con los requisitos aplicables del Reglamento.
  • El PSEC notifica al organismo de supervisión nacional su intención de ser cualificado junto con el informe de evaluación de la conformidad emitido por el organismo de evaluación de la conformidad. Este informe debe probar el cumplimiento con los requisitos del Reglamento, y no con las normas. Las normas pueden, sin embargo, ser una herramienta utilizada por los PSECs para demostrar su cumplimiento con los requisitos del Reglamento.
  • El organismo de supervisión comprueba si el PSEC y el servicio de confianza cualificado que quiere prestar cumplen con los requisitos del Reglamento para concederles el estado de cualificado. Si la comprobación fuera positiva, se concede el estado de cualificado y el PSEC cualificado, junto con el servicio de confianza cualificado que presta, se añaden a las Listas de Confianza establecidas, publicadas y mantenidas por los Estados Miembros (a nivel nacional, no a nivel UE).

Debe destacarse que la decisión final en manos del Organismo de Supervisión. Este puede tomar la decisión basándose en la información proporcionada en el informe de evaluación de la conformidad pero igualmente puede solicitar más información y puede tomar una decisión debidamente justificada que contradiga al informe de  evaluación de la conformidad.

¿Pueden los Estados Miembros imponer un modelo de negocio/técnico específico o una norma a seguir?

No, los Estados Miembros no pueden imponer ni el modelo de negocio/técnico que deben implementar los PSECs ni normas específicas a seguir. El PSEC tiene que demostrar su cumplimiento (basándose en normas que considere apropiadas) con los requisitos del Reglamento mientras que el Organismo de supervisión no puede negarse a conceder el estado de cualificado basándose solo en el motivo de que el modelo propuesto no cumple con una norma específica o un modelo de negocio/técnico.

¿Es posible conceder el estado de cualificado  a todos los servicios de confianza del Reglamento?

No, sólo aquellos servicios para los que hay requisitos aplicables en el Reglamento pueden beneficiarse del estado de cualificado.

 

¿Qué es un sistema cerrado?

El Reglamento EIDAS no aplica a “la prestación de servicios de confianza que se utilizan exclusivamente en sistemas cerrados resultantes de la legislación nacional o de acuerdos entre un conjunto definido de participantes”. El concepto de sistemas cerrados se clarifica en el Considerando 21 del Reglamento especificando que los servicios utilizados exclusivamente en sistemas cerrados entre un conjunto definido de participantes debe “no tener efectos en terceros” y que “sólo los servicios de confianza prestados al público que tengan efectos en terceros deben cumplir los requisitos establecidos en el Reglamento”. Como ejemplo concreto, los sistemas establecidos en empresas o administraciones públicas para gestionar procedimientos internos que hagan uso de servicios de confianza se describen expresamente. Debe destacarse que la excepción para los sistemas cerrados beneficia a los prestadores, que no estaría sujetos a los requisitos del Reglamento. Los usuarios siempre pueden optar por comprar servicios de confianza (cualificados) de PSECs (cualificados) en vez de optar por un sistema cerrado (independientemente de si se usa o no el servicio de confianza entre un conjunto definido de participantes).

Esta versión de preguntas y respuestas sobre #eIdas está basada en la  página web sobre el Reglamento UE 910/2014 de la Comisión Europea

TSL: Lista de confianza de prestadores cualificados de servicios electrónicos de confianza

La Decisión de Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior requiere, prevé  que cada Estado miembro establezca mantega y publique  listas de confianza (TSL, Trust-Service Status List) con información relativa a los prestadores cualificados de servicios electrónicos de confianza y los servicios electrónicos de confianza cualificados prestados por ellos.

En España esta lista TSL la publica el Ministerio de Energía, Turismo y Agenda Digital (Minetad) en sus formas HR (human readable, legible, en PDF) y MP (machine processable, procesable por máquinas, en XML).

La lista se elabora siguiendo la especificación definida en la norma  ETSI TS 119 612.

La fecha de última actualización es 22 de diciembre de 2016

CEF eDelivery and eInvoicing Stakeholder Days

Trust Conformity Assessment Body ha participado en las jornadas “CEF eDelivery and eInvoicing Stakeholder Days” que han tenido lugar entre el 29 de noviembre y el 1 de diciembre de 2016 en Bruselas.

e-delivery-day

Un evento muy fructífero para valorar la evolución del mercado de la entrega digital certificada, caso general de las notificaciones certificadas y de la facturación electrónica.

Los dos primeros días dedicados a la entrega digital certificada y el último a la factura electrónica:

  • Martes, 29 de noviembre: CEF eDelivery Infrastructure Day
  • Miércole, 30 de noviembre: CEF eDelivery Industry Day
  • Jueves, 1 de diciembre: CEF eInvoicing Stakeholder Day

Estos ha sido los ponentes y participantes en mesas redondas:

  • Andrea Servida, DG CNECT H4
  • João Rodrigues Frade, DIGIT B4
  • Nils McGrath, DIGIT B4
  • Xander van der Linde, Ministry of Economic Affairs, the Netherlands
  • André Hoddevik, Agency for Public Management and eGovernment (DIFI), Norway
  • Natalie Nickel and Tim Nowosadtko, Ministry of Justice of North Rhine-Westphalia, Germany
  • Serge Novaretti, DG CNECT H4
  • Pim van der Eijk, OASIS
  • Licinio Kustra Mano, DG SANTE
  • Martin Forsberg, OpenPEPPOL
  • Gábor Bartha, DG CNECT H4
  • Jörg Apitzsch, Governikus KG
  • Juanjo Hierro, Fiware
  • Robert Krimmer, Tallinn University of Technology
  • Martin Volcker
  • David Hixon, IBM
  • Theo Kramer, Flame
  • Sander Fieten, Chasquis
  • Carsten Schmidt, Ministry of Justice of North Rhine-Westphalia, Germany
  • Christian Rasmussen
  • Muhammet Yildiz, Tubitak
  • Maarten Daniels, DIGIT B4
  • Nikita Stampa, Head of Unit, Innovative and e-Procurement unit (G4), DG GROW
  • Irena Riviere-Osipov, Policy Officer in charge of eInvoicing, Innovative and e-Procurement unit (G4), DG GROW
  • Tony Nisbett, Secretary of the UK National eInvoicing Forum
  • Charles Bryant, Secretary General of EESPA
  • Peter Norén, Swedish Financial Management Authority (ESV)
  • Rolf Wessel, Product management eInvoicing of SEEBURGER
  • Olivia Vorstheim, SAP
  • Thomas Fillis, CEF eInvoicing Communications & Public Affairs Manager
  • Andrea Caccia, CEN/TC 434
  • Daniel Ramírez Guerrero, Everis
  • Inés Costa, DIGIT
  • Nicolas Loozen, DIGIT
  • Debora Di Giacomo, Wavestone Advisors
  • Kara Baptista, INEA
  • Irena Riviere-Osipov, Policy Officer in charge of eInvoicing, Innovative and e-Procurement unit (G4), DG GROW

Interesante también la oportunidad de intercambiar ideas con participantes de otros países.

Compilación de dispositivos de creación de firma y sello electrónicos en el marco de #eIdAS

Recopilación  del elenco de dispositivos seguros de creación de firma notificados por los Estados miembros que se beneficien de la medida transitoria establecida en el párrafo 1 del artículo 51 del Reglamento UE 910/2014 y de los dispositivos cualificados de creación  de creación de firma y de sellado establecidos en el párrafo 2 del artículo 30 y el apartado 2 del artículo 39 del Reglamento UE 910 / 2014

Desde la entrada en vigor del Reglamento los Dispositivos Seguros de Creación de Firma (DSCF, en inglés, SSCD, Secure Signature Creation Device) pasan a denominarse Dispositivos Cualificados de Creación de Firma (DCCF, en inglés, QSCD, Qualified Signature Creation Device).

PDF icon Lista de dispositivos de creación de firma y sello electrónicos DSCF – SSCDs y DCCF – QSCDs (en inglés)

En España figura el dispositivo del DNI electrónico:

Nuevas guías orientativas de ENISA en el marco de #eIdAS

La Agencia europea de seguridad ENISA está trabajando en 2016 en un conjunto conciso de directrices técnicas para facilitar la adopción del Reglamento eIDAS en los aspectos de carácter no obligatorio, pensando en su uso voluntario por los diferentes agentes involucrados: los prestadores de servicios electrónicos de confianza, los Organismos de Supervisión y los organismos de evaluación de conformidad.

Dentro de este ámbito, la Agencia ha preparado los siguientes documentos, que están en estado de borrador:

Se invita a los interesados a enviar comentarios a ENISA en referencia a los documentos mencionados anteriormente.

Los comentarios y opiniones deben dirigirse a: slawomir.gorniak@enisa.europa.eu