Formación relativa a servicios de confianza

By #eIdAS, Acreditación, Auditoría, Certificación de auditores EIDAS, Conformity Assessment Body (CAB), eIDAS, EIDAS Auditor certification, Electronic Trust Service Providers, Evaluación de conformidad, Servicios de Confianza Digital No Comments

Nuevas fechas para la formación sobre servicios de confianza:

  • Nivel 1 (2 días): Formación para usuarios avanzados de servicios electrónicos de confianza (25 y 26 de octubre 2022). Precio de tarifa: 1.000 € +IVA
  • Nivel 2 (2 días): Formación para personal de proveedores de servicios electrónicos de confianza (15 y 17 de noviembre 2022). Precio de tarifa: 1.000 € +IVA
  • Nivel 3 (2 días): Formación para candidatos a Auditor de Servicios Electrónicos de Confianza EIDAS (29 de noviembre y 1 de diciembre de 2022). Precio de tarifa: 2.500 € +IVA. Se incluye el acompañamiento como auditor en prácticas en 4 auditorías EIDAS.

En esta ocasión se ha definido un precio especial para agradecer a las personas que se han puesto en contacto con nosotros, a raiz del anuncio que hicimos hace unos meses: Formación de especialistas en EIDAS y certificación de auditores

  •   Nivel 1 (2 días). Promoción: 450 € +IVA
  •   Nivel 1 + Nivel 2 (4 días). Promoción: 1.000 € + IVA
  •   Nivel 1 + Nivel 2 + Nivel 3 (6 días). Promoción: 2.500 € + IVA

Además de la formación, cabe la posibilidad de obtener la certificación profesional asociada, superando un examen de nivel:

  •   Certificación profesional “Especialista en servicios electrónicos de confianza”. Nivel 1. Derechos de examen 200 € +IVA
  •   Certificación profesional “Profesional de Empresas de servicios electrónicos de confianza”. Nivel 2. Derechos de examen: 400 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 1
  •   Certificación profesional “Evaluador de Empresas de servicios de confianza digital”. Nivel 3. Derechos de examen: 600 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 2. Se tienen que realizar como «auditor en prácticas» 4 auditorías EIDAS.

Formulario de inscripción: Formulario_formacion-EIDAS-TCAB-2022

Componente de videoidentificación remota para servicios EIDAS de emisión de certificados

By #eIdAS, Auditoría, Certificados cualificados, Conformity Assessment, Electronic Trust Services, EN 319 411-1, EN 319 411-2, Remote identification, SEPBLAC, TS 119 461, Video onboarding No Comments

La comprobación de identidad no es un servicio de confianza eIDAS por sí mismo, sino un componente de otros servicios de confianza. Un componente de servicio de comprobación de identidad remota puede ser utilizado por muchos servicios de confianza diferentes.

Los prestadores de servicios de identificación remota en base a sistemas de transmisión de video y audio desde el equipo del solicitante pueden ser auditados siguiendo la norma ETSI EN 319 403-1 de modo que esta auditoría pueda ser utilizada posteriormente por un prestador cualificado de servicios de emisión de certificados sin que este apartado del servicio tenga que ser auditado de nuevo.

La norma utilizada para evaluar prestadores de servicios de identificación remota es la recientemente publicada ETSI TS 119 461.  Esta norma se ha desarrollado considerando los siguientes aspectos:

  • Está basada en la norma ETSI EN 319 401 que recoge los requisitos comunes para todos los servicios de confianza.
  • Incluye requisitos específicos para la comprobación de la identidad de personas físicas.
  1. Recopila los requisitos de las mejores prácticas sobre cómo utilizar determinados medios para implementar las tres tareas de «recogida de atributos y evidencias electrónicas»,
    «comprobación de atributos y evidencias electrónicas», y «vinculación de la acción solicitada (por ejemplo, emisión de un certificado) con la identidad de solicitante».
  2. Especifica cómo pueden construirse los procesos de demostración de la identidad mediante la combinación de medios para alcanzar el resultado básico deseado del proceso de comprobación de la identidad
  • Enlaza con los requisitos del apartado 6.2 de las normas  EN 319 411-1 y EN 319 411-2 6.2 indicando formas de dar cumplimiento a esos requisitos mediante la identificación remota.
  • Aunque establece los requisitos específicos para prestar servicios de confianza cualificados, por ejemplo, de expedición de certificados cualificads de persona física,  el servicio de comprobación de la identidad no es por si solo un servicio cualificado.

Los requisitos de seguridad de la norma ETSI TS 119 461 cubren los riesgos más comunes, que se dividen en dos categorías principales:

  • Evidencias falsificadas: Un solicitante alega falsamente una identidad  utilizando medios de pruebas falsificados.
  • Suplantación de identidad: Un solicitante utiliza medios de prueba válidos asociados a otra persona

También se tienen en cuenta potenciales riesgos operativos y los riesgos de ingeniería social.

Un nuevo estándar de ETSI para la firma JADES

By #eIdAS, Electronic Signatures, JSON Signatures One Comment

El ETSI acaba de presentar la norma ETSI TS 119 182-1,  una especificación para dar cobertura a las firmas o sellos electrónico orientados a interficies web JSON respaldados por PKI y certificados de clave pública que autentica el origen de las transacciones, vinculándolas a su emisor  y facilitando el control de accesos a recursos sensibles.

Esta norma es un logro importante para la interoperabilidad de las firmas digitales en toda una serie de aplicaciones de la economía digital actual, incluido el mundo bancario y financiero, en el que hasta ahora unos 4.000 bancos utilizaban diversos procedimientos de firma privada para sus API con el fin de asegurar sus transacciones en línea.

Denominada JAdES, la norma  ETSI TS 119 182-1  viene a respaldar las comunicaciones seguras cumpliendo los requisitos del Reglamento eIDAS de la Unión Europea (Reglamento UE nº 910/2014) para las firmas y sellos electrónicos avanzados y otros requisitos reglamentarios para servicios como la banca abierta (open banking).

Esta especificación de firma digital JAdES se basa en JSON Web Signature y contiene las características ya definidas en las normas ETSI relacionadas para AdES (firma/sello electrónico avanzado) aplicadas a otros formatos de datos, incluyendo XML, PDF y binario. La norma se ha desarrollado con las aportaciones de varias partes interesadas, entre ellas algunos representantes del sector bancario que, a través de Open Banking Europe, han aportado sus requisitos operativos para alinear las API europeas en un único modelo de seguridad.

Nick Pope, vicepresidente del comité técnico del ETSI sobre firmas e infraestructuras electrónicas (ESI), comenta «La norma ETSI JAdES se basa en la dilatada experiencia del ETSI en la definición de normas para la aplicación de firmas digitales a una variedad de formatos de documentos para proporcionar pruebas de su autenticidad en linea con la normativa europea de firma electrónica y servicios electrónicos de confianza. En colaboración con Open Banking Europe, el ETSI ha desarrollado una solución que se ajusta a los requisitos de las API de Open Banking al tiempo que garantiza la autenticidad de las transacciones financieras».

ETSI TS 119 182-1  puede utilizarse para cualquier transacción entre un individuo y una empresa, entre dos empresas, entre un individuo y un organismo gubernamental, etc. aplicable a cualquier comunicación electrónica. Por lo tanto, las características técnicas de la especificación pueden aplicarse al uso de la tecnología de firma digital basada en PKI y en entornos comerciales tanto regulados como generales.

«A medida que la Directiva PSD2 y los servicios «Open Banking» avanzan hacia el estándar Open Finance, las APIs son esenciales no sólo en Europa sino a nivel mundial. Open Banking Europe se enorgullece de formar parte del trabajo de normalización en curso del ETSI y de aportar sus requisitos operativos para resolver problemas prácticos», añade John Broxis, director general de Open Banking Europe.

El comercio electrónico ha surgido como una forma de hacer negocios entre empresas a través de redes locales, de redes de área amplia y de redes globales. La confianza en esta forma de hacer negocios es esencial para el éxito y el desarrollo continuo del comercio electrónico. Por lo tanto, es importante que las empresas que utilizan este medio electrónico de hacer negocios dispongan de controles y mecanismos de seguridad adecuados para proteger sus transacciones y garantizar la confianza de sus socios comerciales. En este sentido, las firmas digitales son un importante componente de seguridad que puede utilizarse para proteger la información, proporcionar confianza en los negocios electrónicos y evitar la manipulación.

Con esta nueva norma, el ETSI cumple los requisitos generales de la comunidad internacional para proporcionar confianza en las transacciones electrónicas.

Training of EIDAS specialists and certification of auditors

By Certificación de auditores EIDAS, EIDAS Auditor certification, Formación, Training 2 Comments

TCAB (Trust Conformity Assessment Body) está preparando un evento de capacitación que se celebrará en abril de 2021, destinado a formar especialistas en el mundo de las firmas electrónicas y los servicios de confianza.

La formación se realizará en línea y por las tardes (de 16:00 a 20:00 hora española, de 15:00 a 19:00 UTC), para fomentar la participación de los estudiantes latinoamericanos.

Está estructurado en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (2 días, 12 y 14 de abril)
  2. Proveedor de servicios digitales de confianza (2 días, 19 y 21 de abril)
  3. Auditor de Servicios Digitales de Confianza (2 días, 26 y 28 de abril)

Tras la formación completa, es posible optar por un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente realizar auditorías como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

Existen requisitos previos adicionales para convertirse en auditor, como contar con una certificación de seguridad, como por ejemplo,  la CISA, la CISM o la ISO 27001.

Precios

  • Nivel 1 (2 días):  1.000 € +IVA
  • Nivel 1 + Nivel 2 (4 días): 2.000 € + IVA
  • Nivel 1 + Nivel 2 + Nivel 3 (6 días): 4.500 € + IVA

Los derechos de examen para certificación profesional tienen el siguiente coste:

  • Certificación profesional de nivel 1 “Especialista en servicios de confianza digital“/»Digital Trust Services Specialist»: 200 € +IVA
  • Certificación profesional de nivel 2 “Profesional de Empresas de servicios de confianza digital”/»Digital Trust Services Business Professional»: 400 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 1
  • Certificación profesional de nivel 3 “Evaluador de Empresas de servicios de confianza digital»/»Digital Trust Services Assessor»: 600 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 2

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789 o complete el formulario