Category

#eIdAS

Primer esquema eID liderado por el sector privado pre-notificado por Italia

By | #eIdAS, eID, Electronic Identification, Identificación electrónica, Sin categoría | No Comments

El pasado 7 de diciembre de 2017, Italia pre-notificó a la Comisión Europea su Sistema Público para la Gestión de la Identidad Digital (SPID), un esquema de identificación electrónica (eID) liderado por el sector privado. La pre-notificación del SPID cubre 8 prestadores de servicios de eID, incluidos 3 prestadores que emiten eIDs hasta un nivel de seguridad “alto”.

La pre-notificación del SPID por parte de Italia es un hecho relevante en un proceso que permitirá a los ciudadanos y empresas italianas utilizar las credenciales concedidas por el SPID para acceder a servicios públicos en otros Estados Miembros.

Italia es el segundo Estado miembro en pre-notificar su esquema nacional de identificación electrónica (eID), tras la notificación de Alemania el pasado septiembre.

La notificación de Italia es relevante, ya que es el primer esquema nacional de identificación electrónica liderado por el sector privado en ser notificado bajo el Reglamento eIDAS.

Próximos pasos

Tras la pre-notificación de Italia, los demás Estados miembros que participen en la Red de Cooperación podrán realizar una revisión inter pares del SPID, si así lo desean, que irá seguida de la notificación del esquema eID. Tras la publicación de la notificación por la Comisión Europea, los demás Estados miembros tendrán que reconocer los eIDs del SPID en un periodo máximo de 12 meses tras la publicación.

eIDAS

El Reglamento eIDAS proporciona un entorno normativo predecible que permite interacciones electrónicas seguras y sin interrupciones entre las empresas, los ciudadanos y las instituciones públicas de la UE. El Reglamento garantiza que las personas y las empresas puedan usar su propia identificación electrónica para acceder a los servicios públicos en aquellos países de la UE donde estén disponibles los eIDs.

Por favor, haga click aquí para acceder a la noticia.

Nueva clasificación de servicios electrónicos de confianza digital tras el #eIdAS

By | #eIdAS, Sin categoría | No Comments

El Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) es de aplicación completa el 1 de julio de 2016.

La información mostrada en la página web del Ministerio de Industria, Energía y Turismo (MINETUR) sobre los prestadores de servicios de certificación electrónica se ha adecuado a la nueva clasificación y categorías de servicios previstos en el citado Reglamento eIDAS.

Por ello, a partir del 1 de julio de 2016, el MINETUR publica una nueva versión de la base de datos de prestadores de servicios con la siguiente estructura:

A. Servicios electrónicos de confianza cualificados:

  • servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos cualificados de tiempo;
  • servicio cualificado de entrega electrónica certificada;
  • servicio cualificado de validación de firmas electrónicas cualificadas;
  • servicio cualificado de validación de sellos electrónicos cualificados;
  • servicio cualificado de conservación de firmas electrónicas cualificadas;
  • servicio cualificado de conservación de sellos electrónicos cualificados.

B. Servicios electrónicos de confianza no cualificados:

  • servicio de expedición de certificados electrónicos no cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos no cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos no cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos no cualificados de tiempo;
  • servicio no cualificado de entrega electrónica certificada;
  • servicio no cualificado de validación de firmas electrónicas;
  • servicio no cualificado de validación de sellos electrónicos;
  • servicio no cualificado de conservación de firmas electrónicas;
  • servicio no cualificado de conservación de sellos electrónicos.

C. Otros servicios:

Apartado en el que se publican los servicios relacionados con la firma electrónica que no tienen la condición de servicio de confianza según el Reglamento eIDAS pero que tendrían cabida en el marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, entre los que se encuentran los servicios de expedición de certificados electrónicos de persona jurídica o entidad sin personalidad jurídica, los servicios de expedición de certificados de componentes, los servicios de certificación de publicaciones o los servicios de contratación electrónica.

Adicionalmente, se proporciona la posibilidad de obtener información categorizada sobre los servicios de expedición de certificados electrónicos utilizados como sistemas de identificación y firma de las Administraciones Públicas (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público):

  • servicio de expedición de certificados electrónicos de sede electrónica de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de sello de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de empleado público.

OID para certificados cualificados de persona física y jurídica

By | #eIdAS, Certificados cualificados, OID, Sin categoría | No Comments

La codificación de ciertas características de los certificados cualificados se señalan mediante OID (Object Identifier) específicos.

La norma técnica que los indicaba era hasta hace unos meses la ETSI TS 101 862, que los reflejaba trayendo a colación  el arco (hoy obsoleto):

  • 1.3.6.1.5.5.7.0.11

Y definiendo la información de la declaracion de certificado cualificado (QC-Statement) con el arco:

  • 0.4.0.1862

En la actualidad, la norma de aplicación es la ETSI EN 319 412-1 lo que ha dado lugar a que la información sobre certificados cualificados no incluidos en la norma anterior se reflejen con un nuevo arco OID:

  • 0.4.0.194121

Por tanto, los certificados cualificados podrán indicar ciertas características de los certificados con OIDs que comienzan con 0.4.0.1862 (originalmente diseñados para firma electrónica de personas físicas según la Directiva 1999/93, pero hoy en día adecuados también para personas jurídicas por la ampliación de conceptos como el sello electrónico del Reglamento UE 910/2014 EIDAS) y otras con OID que comienzan con 0.4.0.194121 (específicamente para diferenciar los certificados de persona física y jurídica tal como lo hace el Reglamento UE 910/2014 EIDAS).

Estos son los principales OID:

  • 0.4.0.1862.1.1 – qcStatement – QcCompliance (Obligatorio)
  • 0.4.0.1862.1.2 – qcStatement – QcLimitValue
  • 0.4.0.1862.1.3 – qcStatement – QcRetentionPeriod
  • 0.4.0.1862.1.4 – qcStatement – QcSSCD
  • 0.4.0.1862.1.5 – qcStatement – QcPDS (Obligatorio)
  • 0.4.0.1862.1.6 – qcStatement – QcType
  • 0.4.0.194121.1.1 -> id-etsi-qcs-semanticsId-Natural -> Natural person semantics (para certificados de persona física – firma electrónica)
  • 0.4.0.194121.1.2 -> id-etsi-qcs-SemanticsId-Legal -> Legal person semantics (para certificados de persona jurídica – sello electrónico)

Los 4 últimos OID son nuevos. Aclaremos 2 de ellos:

  • 0.4.0.1862.1.5 – qcStatement – QcPDS (Obligatorio).
    Proporcionará al menos una URL a un PDS (PKI Disclosure Statements) en Inglés.
    Se pueden referenciar otros documentos PDS en otros idiomas con este QCStatement siempre que sean
    equivalentes  al PDS en inglés.
    No se debe hacer referencia a más de un PDS por idioma.
  • 0.4.0.1862.1.6 – qcStatement – QcType.
    id-etsi-qct-esign (0.4.0.1862.1.6.1)
    id-etsi-qct-eseal (0.4.0.1862.1.6.2)
    id-etsi-qct-web (0.4.0.1862.1.6.3)

DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 – evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos electrónicos

By | #eIdAS, Evaluación de conformidad, Sin categoría | No Comments

DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (1), y en particular su artículo 30, apartado 3, y su artículo 39, apartado 2,

Considerando lo siguiente:

(1)

El anexo II del Reglamento (UE) n.o 910/2014 establece los requisitos aplicables a los dispositivos cualificados de creación de firmas electrónicas y a los dispositivos cualificados de creación de sellos electrónicos.

(2)

La labor de elaborar las especificaciones técnicas necesarias para la producción y comercialización de productos que se adecúen al estado actual de la técnica la llevan a cabo las organizaciones competentes en el ámbito de la normalización.

(3)

La ISO/CEI (Organización Internacional de Normalización/Comisión Electrotécnica Internacional) establece los conceptos y principios generales de seguridad de la tecnología de la información y especifica el modelo general de evaluación que debe utilizarse como base para evaluar las propiedades de seguridad de los productos informáticos.

(4)

En el marco del mandato de normalización M/460 otorgado por la Comisión, el Comité Europeo de Normalización (CEN) ha elaborado normas aplicables a los dispositivos cualificados de creación de firmas y sellos electrónicos, cuando los datos de creación de firma electrónica o los datos de creación de sello electrónico se conservan íntegramente, aunque no necesariamente de forma exclusiva, en un entorno gestionado por el usuario. Esas normas se consideran adecuadas para evaluar la conformidad de tales productos con los requisitos pertinentes establecidos en el anexo II del Reglamento (UE) n.o 910/2014.

(5)

El anexo II del Reglamento (UE) n.o 910/2014 establece que solo un prestador cualificado de servicios de confianza puede gestionar datos de creación de firma electrónica en nombre del firmante. Los requisitos de seguridad y sus respectivas especificaciones de certificación difieren cuando el firmante posee físicamente un producto y cuando un prestador cualificado de servicios de confianza actúa en nombre del firmante. Para abordar ambas situaciones y favorecer con el tiempo el desarrollo de productos y criterios de evaluación adaptados a necesidades concretas, el anexo de la presente Decisión debe enumerar normas que abarquen ambas situaciones.

(6)

En el momento de la adopción de la presente Decisión de la Comisión, varios prestadores de servicios de confianza ya ofrecen soluciones para gestionar los datos de creación de firma electrónica en nombre de sus clientes. Las certificaciones de productos se limitan actualmente a los módulos de seguridad de los equipos informáticos certificados con arreglo a diferentes normas, pero todavía no están certificados específicamente con arreglo a los requisitos aplicables a los dispositivos cualificados de creación de sellos y firmas. No obstante, no existen aún normas publicadas, como la norma EN 419 211 (aplicable a la firma electrónica creada en un entorno íntegramente gestionado, aunque no necesariamente de forma exclusiva, por el usuario), para un mercado igualmente importante de productos a distancia certificados. Dado que se están elaborando actualmente las normas que podrían ser adecuadas a tal fin, la Comisión completará la presente Decisión cuando esas normas estén disponibles y se consideren conformes a los requisitos establecidos en el anexo II del Reglamento (UE) n.o 910/2014. Hasta el momento en que se establezca la lista de tales normas, puede utilizarse un proceso alternativo para evaluar la conformidad de esos productos en las condiciones previstas en el artículo 30, apartado 3, letra b), del Reglamento (UE) n.o 910/2014.

(7)

En el anexo figura la norma EN 419 211, que consta de diferentes partes (1 a 6) que abarcan distintas situaciones. Las partes 5 y 6 de dicha norma presentan extensiones relacionadas con el entorno de los dispositivos cualificados de creación de firma, como la comunicación con aplicaciones de creación de firma de confianza. Los fabricantes de productos son libres de aplicar esas extensiones. De conformidad con el considerando 56 del Reglamento (UE) n.o 910/2014, el objeto de la certificación en virtud de los artículos 30 y 39 de dicho Reglamento se limita a proteger los datos de creación de firmas, mientras que las aplicaciones de creación de firmas quedan excluidas del alcance de la certificación.

(8)

A fin de garantizar que las firmas o sellos electrónicos generados por un dispositivo cualificado de creación de firma o sello estén protegidos con seguridad contra la falsificación, como exige el anexo II del Reglamento (UE) n.o 910/2014, una condición indispensable para la seguridad del producto certificado es recurrir a algoritmos criptográficos, longitudes de clave y funciones hash adecuados. Dado que ese aspecto no ha sido armonizado a nivel europeo, los Estados miembros deben cooperar a fin de acordar algoritmos criptográficos, longitudes de clave y funciones hash para su utilización en el ámbito de las firmas y sellos electrónicos.

(9)

La adopción de la presente Decisión deja obsoleta la Decisión 2003/511/CE de la Comisión (2). Procede, por tanto, derogarla.

(10)

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité a que se refiere el artículo 48 del Reglamento (UE) n.o 910/2014.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

1.   En el anexo de la presente Decisión figuran las normas para la evaluación de la seguridad de productos de tecnología de la información que se aplican a la certificación de dispositivos cualificados de creación de firma electrónica o dispositivos cualificados de creación de sello electrónico de conformidad con el artículo 30, apartado 3, letra a), o con el artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014, cuando los datos de creación de firma electrónica o los datos de creación de sello electrónico se conservan íntegramente, aunque no necesariamente de forma exclusiva, en un entorno gestionado por el usuario.

2.   Hasta que la Comisión establezca una lista de normas para la evaluación de la seguridad de los productos de tecnología de la información que se aplican a la certificación de dispositivos cualificados de creación de firmas electrónicas o dispositivos cualificados de creación de sellos electrónicos, cuando un prestador cualificado de servicios de confianza gestione los datos de creación de firma electrónica o los datos de creación del sello electrónico en nombre de un firmante o de un creador de un sello, la certificación de esos productos se basará en un proceso que, de conformidad con el artículo 30, apartado 3, letra b), haga uso de unos niveles de seguridad equivalentes a los exigidos por el artículo 30, apartado 3, letra a), y que sea notificado a la Comisión por el organismo público o privado a que se refiere el artículo 30, apartado 1, del Reglamento (UE) n.o 910/2014.

Artículo 2

Queda derogada la Decisión 2003/511/CE.

Artículo 3

La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 25 de abril de 2016.

Por la Comisión

El Presidente

Jean-Claude JUNCKER


(1)  DO L 257 de 28.8.2014, p. 73.

(2)  Decisión 2003/511/CE de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo (DO L 175 de 15.7.2003, p. 45).


ANEXO

LISTA DE NORMAS A QUE SE REFIERE EL ARTÍCULO 1, APARTADO 1

ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 enumeradas a continuación:

ISO/IEC 15408-1:2009 — Information technology — Security techniques — Evaluation criteria for IT security — Parte 1. (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI. Parte 1). ISO, 2009.

ISO/IEC 15408-2:2008 — Information technology — Security techniques — Evaluation criteria for IT security — Parte 2. (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI. Parte 2). ISO, 2008.

ISO/IEC 15408-3:2008 Information technology — Security techniques — Evaluation criteria for IT security — Parte 3 (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI. Parte 3). ISO, 2008.

e

ISO/IEC 18045:2008: Information technology — Security techniques — Methodology for IT security evaluation (Tecnología de la información — Técnicas de seguridad — Metodología para la evaluación de la seguridad de la TI).

y

EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma), Partes 1 a 6 —en su caso— enumeradas a continuación:

EN 419211-1:2014 — Protection profiles for secure signature creation device — Part 1: Overview (Perfiles de protección para los dispositivos seguros de creación de firma. Parte 1: Generalidades).

EN 419211-2:2013 — Protection profiles for secure signature creation device — Part 2: Device with key generation (Perfil de protección para los dispositivos seguros de creación de firma. Parte 2: Dispositivo con generación de claves).

EN 419211-3:2013 — Protection profiles for secure signature creation device — Part 3: Device with key import (Perfil de protección para los dispositivos seguros de creación de firma. Parte 3: Dispositivo con importación de claves).

EN 419211-4:2013 — Protection profiles for secure signature creation device — Part 4: Extension for device with key generation and trusted channel to certificate generation application (Perfil de protección para los dispositivos seguros de creación de firma. Parte 4: Extensión para el dispositivo con generación de claves y comunicación confiada con aplicación de generación de certificado).

EN 419211-5:2013 — Protection profiles for secure signature creation device — Part 5: Extension for device with key generation and trusted channel to signature creation application (Perfil de protección para los dispositivos seguros de creación de firma. Parte 5: Dispositivo con generación de claves y comunicación confiada con aplicación de creación de firma).

EN 419211-6:2014 — Protection profiles for secure signature creation device — Part 6: Extension for device with key import and trusted channel to signature creation application (Perfil de protección para los dispositivos seguros de creación de firma. Parte 6: Dispositivo con importación de claves y comunicación confiada con aplicación de creación de firma).

Normas de evaluación de Prestadores de Servicios de Confianza Digital

By | #eIdAS, Acreditación, Evaluación de conformidad, Servicios de Confianza Digital, Sin categoría | No Comments

Hasta el 1 de julio de 2016 seguirá siendo válida la evaluación de Prestadores de Servicios de Certificación con arreglo a las normas ETSI TS 101 456, ETSI TS 102 042 y ETSI TS 102 023.

Desde esa fecha serán de aplicación los nuevos estándares europeos EN 319 411-1 (equivalente a la ETSI TS 102 042) y EN 319 411-2 (equivalente a la ETSI TS 101 456) para los Prestadores de Servicios de Certificación y EN 319 421 (equivalente a la ETSI TS 102 023) para los Prestadores de Servicios de Sellado de Tiempo.

Los Prestadores de Servicios de Certificación y los Prestadores de Servicios de Sellado de Tiempo son casos particulares de los Prestadores de Servicios de Confianza Digital. Otros servicios de Confianza Digital son los de Custodia de documentos electrónicos firmados electrónicamente, los de Entrega Certificada (eDelivery) y los de firma en la nube o firma en servidor.

Para los nuevos servicios todavía no se han publicado las normas de evaluación.