Un nuevo estándar de ETSI para la firma JADES

By #eIdAS, Electronic Signatures, JSON Signatures No Comments

El ETSI acaba de presentar la norma ETSI TS 119 182-1,  una especificación para dar cobertura a las firmas o sellos electrónico orientados a interficies web JSON respaldados por PKI y certificados de clave pública que autentica el origen de las transacciones, vinculándolas a su emisor  y facilitando el control de accesos a recursos sensibles.

Esta norma es un logro importante para la interoperabilidad de las firmas digitales en toda una serie de aplicaciones de la economía digital actual, incluido el mundo bancario y financiero, en el que hasta ahora unos 4.000 bancos utilizaban diversos procedimientos de firma privada para sus API con el fin de asegurar sus transacciones en línea.

Denominada JAdES, la norma  ETSI TS 119 182-1  viene a respaldar las comunicaciones seguras cumpliendo los requisitos del Reglamento eIDAS de la Unión Europea (Reglamento UE nº 910/2014) para las firmas y sellos electrónicos avanzados y otros requisitos reglamentarios para servicios como la banca abierta (open banking).

Esta especificación de firma digital JAdES se basa en JSON Web Signature y contiene las características ya definidas en las normas ETSI relacionadas para AdES (firma/sello electrónico avanzado) aplicadas a otros formatos de datos, incluyendo XML, PDF y binario. La norma se ha desarrollado con las aportaciones de varias partes interesadas, entre ellas algunos representantes del sector bancario que, a través de Open Banking Europe, han aportado sus requisitos operativos para alinear las API europeas en un único modelo de seguridad.

Nick Pope, vicepresidente del comité técnico del ETSI sobre firmas e infraestructuras electrónicas (ESI), comenta «La norma ETSI JAdES se basa en la dilatada experiencia del ETSI en la definición de normas para la aplicación de firmas digitales a una variedad de formatos de documentos para proporcionar pruebas de su autenticidad en linea con la normativa europea de firma electrónica y servicios electrónicos de confianza. En colaboración con Open Banking Europe, el ETSI ha desarrollado una solución que se ajusta a los requisitos de las API de Open Banking al tiempo que garantiza la autenticidad de las transacciones financieras».

ETSI TS 119 182-1  puede utilizarse para cualquier transacción entre un individuo y una empresa, entre dos empresas, entre un individuo y un organismo gubernamental, etc. aplicable a cualquier comunicación electrónica. Por lo tanto, las características técnicas de la especificación pueden aplicarse al uso de la tecnología de firma digital basada en PKI y en entornos comerciales tanto regulados como generales.

«A medida que la Directiva PSD2 y los servicios «Open Banking» avanzan hacia el estándar Open Finance, las APIs son esenciales no sólo en Europa sino a nivel mundial. Open Banking Europe se enorgullece de formar parte del trabajo de normalización en curso del ETSI y de aportar sus requisitos operativos para resolver problemas prácticos», añade John Broxis, director general de Open Banking Europe.

El comercio electrónico ha surgido como una forma de hacer negocios entre empresas a través de redes locales, de redes de área amplia y de redes globales. La confianza en esta forma de hacer negocios es esencial para el éxito y el desarrollo continuo del comercio electrónico. Por lo tanto, es importante que las empresas que utilizan este medio electrónico de hacer negocios dispongan de controles y mecanismos de seguridad adecuados para proteger sus transacciones y garantizar la confianza de sus socios comerciales. En este sentido, las firmas digitales son un importante componente de seguridad que puede utilizarse para proteger la información, proporcionar confianza en los negocios electrónicos y evitar la manipulación.

Con esta nueva norma, el ETSI cumple los requisitos generales de la comunidad internacional para proporcionar confianza en las transacciones electrónicas.

Formación de especialistas en EIDAS y certificación de auditores

By Certificación de auditores EIDAS, EIDAS Auditor certification, Formación, Training No Comments

TCAB (Trust Conformity Assessment Body) está preparando un evento de capacitación que se celebrará en abril de 2021, destinado a formar especialistas en el mundo de las firmas electrónicas y los servicios de confianza.

La formación se realizará en línea y por las tardes (de 16:00 a 20:00 hora española, de 15:00 a 19:00 UTC), para fomentar la participación de los estudiantes latinoamericanos.

Está estructurado en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (2 días, 12 y 14 de abril)
  2. Proveedor de servicios digitales de confianza (2 días, 19 y 21 de abril)
  3. Auditor de Servicios Digitales de Confianza (2 días, 26 y 28 de abril)

Tras la formación completa, es posible optar por un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente realizar auditorías como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

Existen requisitos previos adicionales para convertirse en auditor, como contar con una certificación de seguridad, como por ejemplo,  la CISA, la CISM o la ISO 27001.

Precios

  • Nivel 1 (2 días): 399 € +IVA
  • Nivel 1 + Nivel 2 (4 días): 997 € + IVA
  • Nivel 1 + Nivel 2 + Nivel 3 (6 días): 1.495 € + IVA

Los derechos de examen para certificación profesional tienen el siguiente coste:

  • Certificación profesional de nivel 1 “Especialista en servicios de confianza digital“/»Digital Trust Services Specialist»: 150 € +IVA
  • Certificación profesional de nivel 2 “Profesional de Empresas de servicios de confianza digital”/»Digital Trust Services Business Professional»: 250 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 1
  • Certificación profesional de nivel 3 “Evaluador de Empresas de servicios de confianza digital»/»Digital Trust Services Assessor»: 250 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 2

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789 o complete el formulario

Sigue creciendo el blockchain en España

By Sin categoría No Comments

Según se ha anunciado en un reciente estudio, el Blockchain y su inversión en España alcanzará una previsión éste 2020 de unos 103,5 millones de dólares, experimentando además un crecimiento sostenido del 53% hasta el año 2023 lo que implica una inversión total de 378 millones de dólares.

El sector financiero es quien liderará ese crecimiento en lo que a inversión se refiere mientras que el industrial será el protagonista del crecimiento.

Se desprende también que en la actualidad en España y con Blockchain solo una de cada diez empresas hace uso de la misma, con la seguridad en las transacciones y el refuerzo de la identidad digital de usuarios como los puntos más valorados. 

Finalmente en lo que a las empresas que todavía no usan Blockchain el 41% reconoce que no sabe qué beneficios puede proporcionarles dicha tecnología en cuanto a su actividad, además un 32% afirma que rompería con sus procesos actuales definidos sin esta tecnología.

Conoce la norma ISO 27001

By Sin categoría No Comments

Si hablamos de normativas fundamentales en nuestra labor digital, la ISO 27001 es el eje central. Su objetivo es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa. Este tipo de actividad se realiza mediante la investigación de cuáles son los potenciales problemas que podrían afectar a la información, es decir, una evaluación de riesgos. 

Por otra parte define en fondo y forma que elementos son necesarios para evitar que estos problemas se produzcan.

Esta norma puede ser implementada en cualquier tipo de organización ya que proporciona una metodología de cara a implementar una gestión de la seguridad de la información en una organización. Una vez solventado ese camino, permite que una empresa sea certificada por una entidad de certificación como la nuestra, confirmando así su seguridad en lo que a información se refiere.

Por tanto, podemos definir que la norma ISO 27001 basa su funcionamiento principal en  gestionar riesgos, investigar su procedencia y ser tratados de forma adecuada.

TCAB, además de evaluar servicios de confianza cualificados (de acuerdo al Reglamento eIDAS), ofrece servicios de certificación de soluciones de identificación remota mediante vídeo, firma electrónica avanzada no basada en certificados electrónicos (como es la biométrica) y digitalización certificada.