Category

#eIdAS

Formación relativa a servicios de confianza

By #eIdAS, Acreditación, Auditoría, Certificación de auditores EIDAS, Conformity Assessment Body (CAB), eIDAS, EIDAS Auditor certification, Electronic Trust Service Providers, Evaluación de conformidad, Servicios de Confianza DigitalNo Comments

Nuevas fechas para la formación sobre servicios de confianza:

  • Nivel 1 (2 días): Formación para usuarios avanzados de servicios electrónicos de confianza (25 y 26 de octubre 2022). Precio de tarifa: 1.000 € +IVA
  • Nivel 2 (2 días): Formación para personal de proveedores de servicios electrónicos de confianza (15 y 17 de noviembre 2022). Precio de tarifa: 1.000 € +IVA
  • Nivel 3 (2 días): Formación para candidatos a Auditor de Servicios Electrónicos de Confianza EIDAS (29 de noviembre y 1 de diciembre de 2022). Precio de tarifa: 2.500 € +IVA. Se incluye el acompañamiento como auditor en prácticas en 4 auditorías EIDAS.

Formación online, impartida de 16:00 a 20:00 horas (hora central europea, UTC + 1h).
En esta ocasión se ha definido un precio especial para agradecer a las personas que se han puesto en contacto con nosotros, a raiz del anuncio que hicimos hace unos meses: Formación de especialistas en EIDAS y certificación de auditores

  •   Nivel 1 (2 días). Promoción: 450 € +IVA
  •   Nivel 1 + Nivel 2 (4 días). Promoción: 1.000 € + IVA
  •   Nivel 1 + Nivel 2 + Nivel 3 (6 días). Promoción: 2.500 € + IVA

Además de la formación, cabe la posibilidad de obtener la certificación profesional asociada, superando un examen de nivel:

  •   Certificación profesional “Especialista en servicios electrónicos de confianza”. Nivel 1. Derechos de examen 200 € +IVA
  •   Certificación profesional “Profesional de Empresas de servicios electrónicos de confianza”. Nivel 2. Derechos de examen: 400 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 1
  •   Certificación profesional “Evaluador de Empresas de servicios de confianza digital”. Nivel 3. Derechos de examen: 600 € +IVA. Se tiene que haber superado o estar pendiente de evaluación el examen de nivel 2. Se tienen que realizar como «auditor en prácticas» 4 auditorías EIDAS.

Formulario de inscripción: Formulario_formacion-EIDAS-TCAB-2022

Descarga el folleto completo: Folleto_formacion-EIDAS-TCAB-2022

04 de septiembre de 2022

Componente de videoidentificación remota para servicios EIDAS de emisión de certificados

By #eIdAS, Auditoría, Certificados cualificados, Conformity Assessment, Electronic Trust Services, EN 319 411-1, EN 319 411-2, Remote identification, SEPBLAC, TS 119 461, Video onboardingNo Comments

La comprobación de identidad no es un servicio de confianza eIDAS por sí mismo, sino un componente de otros servicios de confianza. Un componente de servicio de comprobación de identidad remota puede ser utilizado por muchos servicios de confianza diferentes.

Los prestadores de servicios de identificación remota en base a sistemas de transmisión de video y audio desde el equipo del solicitante pueden ser auditados siguiendo la norma ETSI EN 319 403-1 de modo que esta auditoría pueda ser utilizada posteriormente por un prestador cualificado de servicios de emisión de certificados sin que este apartado del servicio tenga que ser auditado de nuevo.

La norma utilizada para evaluar prestadores de servicios de identificación remota es la recientemente publicada ETSI TS 119 461.  Esta norma se ha desarrollado considerando los siguientes aspectos:

  • Está basada en la norma ETSI EN 319 401 que recoge los requisitos comunes para todos los servicios de confianza.
  • Incluye requisitos específicos para la comprobación de la identidad de personas físicas.
  1. Recopila los requisitos de las mejores prácticas sobre cómo utilizar determinados medios para implementar las tres tareas de «recogida de atributos y evidencias electrónicas»,
    «comprobación de atributos y evidencias electrónicas», y «vinculación de la acción solicitada (por ejemplo, emisión de un certificado) con la identidad de solicitante».
  2. Especifica cómo pueden construirse los procesos de demostración de la identidad mediante la combinación de medios para alcanzar el resultado básico deseado del proceso de comprobación de la identidad
  • Enlaza con los requisitos del apartado 6.2 de las normas  EN 319 411-1 y EN 319 411-2 6.2 indicando formas de dar cumplimiento a esos requisitos mediante la identificación remota.
  • Aunque establece los requisitos específicos para prestar servicios de confianza cualificados, por ejemplo, de expedición de certificados cualificads de persona física,  el servicio de comprobación de la identidad no es por si solo un servicio cualificado.

Los requisitos de seguridad de la norma ETSI TS 119 461 cubren los riesgos más comunes, que se dividen en dos categorías principales:

  • Evidencias falsificadas: Un solicitante alega falsamente una identidad  utilizando medios de pruebas falsificados.
  • Suplantación de identidad: Un solicitante utiliza medios de prueba válidos asociados a otra persona

También se tienen en cuenta potenciales riesgos operativos y los riesgos de ingeniería social.

13 de noviembre de 2021

Un nuevo estándar de ETSI para la firma JADES

By #eIdAS, Electronic Signatures, JSON SignaturesOne Comment

El ETSI acaba de presentar la norma ETSI TS 119 182-1,  una especificación para dar cobertura a las firmas o sellos electrónico orientados a interficies web JSON respaldados por PKI y certificados de clave pública que autentica el origen de las transacciones, vinculándolas a su emisor  y facilitando el control de accesos a recursos sensibles.

Esta norma es un logro importante para la interoperabilidad de las firmas digitales en toda una serie de aplicaciones de la economía digital actual, incluido el mundo bancario y financiero, en el que hasta ahora unos 4.000 bancos utilizaban diversos procedimientos de firma privada para sus API con el fin de asegurar sus transacciones en línea.

Denominada JAdES, la norma  ETSI TS 119 182-1  viene a respaldar las comunicaciones seguras cumpliendo los requisitos del Reglamento eIDAS de la Unión Europea (Reglamento UE nº 910/2014) para las firmas y sellos electrónicos avanzados y otros requisitos reglamentarios para servicios como la banca abierta (open banking).

Esta especificación de firma digital JAdES se basa en JSON Web Signature y contiene las características ya definidas en las normas ETSI relacionadas para AdES (firma/sello electrónico avanzado) aplicadas a otros formatos de datos, incluyendo XML, PDF y binario. La norma se ha desarrollado con las aportaciones de varias partes interesadas, entre ellas algunos representantes del sector bancario que, a través de Open Banking Europe, han aportado sus requisitos operativos para alinear las API europeas en un único modelo de seguridad.

Nick Pope, vicepresidente del comité técnico del ETSI sobre firmas e infraestructuras electrónicas (ESI), comenta «La norma ETSI JAdES se basa en la dilatada experiencia del ETSI en la definición de normas para la aplicación de firmas digitales a una variedad de formatos de documentos para proporcionar pruebas de su autenticidad en linea con la normativa europea de firma electrónica y servicios electrónicos de confianza. En colaboración con Open Banking Europe, el ETSI ha desarrollado una solución que se ajusta a los requisitos de las API de Open Banking al tiempo que garantiza la autenticidad de las transacciones financieras».

ETSI TS 119 182-1  puede utilizarse para cualquier transacción entre un individuo y una empresa, entre dos empresas, entre un individuo y un organismo gubernamental, etc. aplicable a cualquier comunicación electrónica. Por lo tanto, las características técnicas de la especificación pueden aplicarse al uso de la tecnología de firma digital basada en PKI y en entornos comerciales tanto regulados como generales.

«A medida que la Directiva PSD2 y los servicios «Open Banking» avanzan hacia el estándar Open Finance, las APIs son esenciales no sólo en Europa sino a nivel mundial. Open Banking Europe se enorgullece de formar parte del trabajo de normalización en curso del ETSI y de aportar sus requisitos operativos para resolver problemas prácticos», añade John Broxis, director general de Open Banking Europe.

El comercio electrónico ha surgido como una forma de hacer negocios entre empresas a través de redes locales, de redes de área amplia y de redes globales. La confianza en esta forma de hacer negocios es esencial para el éxito y el desarrollo continuo del comercio electrónico. Por lo tanto, es importante que las empresas que utilizan este medio electrónico de hacer negocios dispongan de controles y mecanismos de seguridad adecuados para proteger sus transacciones y garantizar la confianza de sus socios comerciales. En este sentido, las firmas digitales son un importante componente de seguridad que puede utilizarse para proteger la información, proporcionar confianza en los negocios electrónicos y evitar la manipulación.

Con esta nueva norma, el ETSI cumple los requisitos generales de la comunidad internacional para proporcionar confianza en las transacciones electrónicas.

29 de marzo de 2021

Las notificaciones electrónicas y el correo electrónico certificado esenciales en las relaciones a distancia

By #eIdAS, Auditoría, Conformity Assessment, Conformity Assessment Body, electronic delivery, Electronic Trust Services, Entrega certificada, notificacionesNo Comments

Cuando las calles, negocios y edificios públicos se vaciaban, otros lugar ganaban protagonismo. Las notificaciones electrónicas ya lo venían haciendo, pero son otras de las protagonistas de este periodo de Estado de alarma por la pandemia COVID-19. 

Un sistema electrónico de notificaciones  permite que cualquier tipo de persona física o jurídica, pueda recibir los distintos avisos y documentos que las Administraciones Públicas han emitido  en formato digital.

La Agencia Tributaria, la Dirección General De Tráfico o la Seguridad Social son los principales organismos emisores de este tipo de notificaciones que permiten a las entidades públicas un ahorro importante en aspectos de mensajería y a los usuarios ahorrar tiempo de desplazamiento ya que no hsy que estar presentes en el momento en el que la notificación es entregada. 

El sectot privado también ha desarollado sistemas de notificación fehaciente, que en la actualidad pueden adaptarse a lo exigido por el Reglamento UE 910/2014 (EIDAS) y así pueden convertirse en sistemas de entrega certificada. Lo contempla en Reglamento EIDAS en los artículos 43 y 44:

Artículo 43

Efecto jurídico de un servicio de entrega electrónica certificada

1.   A los datos enviados y recibidos mediante un servicio de entrega electrónica certificada no se les denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales por el mero hecho de que estén en formato electrónico o no cumplan los requisitos de servicio cualificado de entrega electrónica certificada.

2.   Los datos enviados y recibidos mediante un servicio cualificado de entrega electrónica certificada disfrutarán de la presunción de la integridad de los datos, el envío de dichos datos por el remitente identificado, la recepción por el destinatario identificado y la exactitud de la fecha y hora de envío y recepción de los datos que indica el servicio cualificado de entrega electrónica certificada.

Artículo 44

Requisitos de los servicios cualificados de entrega electrónica certificada

1.   Los servicios cualificados de entrega electrónica certificada cumplirán los requisitos siguientes:

a)

ser prestados por uno o más prestadores cualificados de servicios de confianza;

b)

asegurar con un alto nivel de fiabilidad la identificación del remitente;

c)

garantizar la identificación del destinatario antes de la entrega de los datos;

d)

estar protegidos el envío y recepción de datos por una firma electrónica avanzada o un sello electrónico avanzado de un prestador cualificado de servicios de confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte;

e)

indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos;

f)

indicar mediante un sello cualificado de tiempo electrónico la fecha y hora de envío, recepción y eventual modificación de los datos.

En caso de que los datos se transfieran entre dos o más prestadores cualificados de servicios de confianza, se aplicarán los requisitos establecidos en las letras a) a f) a todos los prestadores cualificados de servicios de confianza.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los procesos de envío y recepción de datos. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Aunque la Comisión no ha publicado normas  que supongan la presunción de cumplimiento, ETSI ha publicado las siguientes normas de evaluación:

  • EN 319 521 – Política y requisitos de seguridad para los proveedores de servicios de entrega electrónica certificada (Policy & security requirements for electronic registered delivery service providers )
  • EN 319 531 – Política y requisitos de seguridad para los proveedores de servicios de correo electrónico certificado – CEC (Policy & security requirements for registered electronic mail – REM – service providers)-

En TCAB, estamos en disposición de evaluar prestadores de servicios de confianza de entrega electrónica certificada según el Reglamento EIDAS y la normativa técnica de ETSI. Llamenos al +34 91 388 0789 para aclarar sus dudas.

 

19 de mayo de 2020

La firma electrónica y el sello electrónico

By #eIdAS, Advanced Signature, Electronic Certificates, electronic delivery, EN 319 412, Firma cualificada, Qualified Seal, Qualified Signature, Secure Signature Creation Devices, Sello cualificadoNo Comments

La firma electrónica y el sello electrónico son operaciones criptográficas que asocian un documento (el documento firmado o sellado) con la identidad de una persona física o de una persona jurídica.

Ambas operaciones se desarrollan técnicamente de forma similar. Su principal diferencia es que la firma electrónica se asocia a una persona física y el sello electrónico se asocia a una persona jurídica.

Cuando la firma electrónica se realiza con un certificado electrónico y su clave privada asociada, pueden darse diferentes variantes:

  • Firma avanzada. No hay requisitos especiales respecto al certificado.
  • Firma semicualificada. El certificado debe ser cualificado. Es decir, debe contener elOID "id-etsi-qcs-QcCompliance" 0.4.0.1862.1.1 qcs-QcCompliance(1)
  • Firma cualificada. El certificado debe ser cualificado y estar basado en un dispositivo cualificado. Es decir, debe contener el OID «id-etsi-qcs-QcCompliance» 0.4.0.1862.1.1 qcs-QcCompliance(1) y el OID «id-etsi-qcs-QcSSCD» 0.4.0.1862.1.4 qcs-QcCompliance(4)

De igual forma, cuando el sello electrónico se realiza con un certificado electrónico y su clave privada asociada, pueden darse las mismas variantes:

  • Sello avanzada. No hay requisitos especiales respecto al certificado.
  • Sello semicualificado. El certificado debe ser cualificado. Es decir, debe contener  el el OID «id-etsi-qcs-QcCompliance» 0.4.0.1862.1.1 qcs-QcCompliance(1)
  • Sello cualificado. El certificado debe ser cualificado y estar basado en un dispositivo cualificado. Es decir, debe contener el OID «id-etsi-qcs-QcCompliance» 0.4.0.1862.1.1 qcs-QcCompliance(1) y el OID «id-etsi-qcs-QcSSCD» 0.4.0.1862.1.4 qcs-QcCompliance(4)

Hay más detalles técnicos en la norma de ETSI EN 319 412-5.

12 de mayo de 2020

Certificados cualificados por videoidentificación en el BOE

By #eIdAS, Conformity Assessment Body, Conformity Assessment Body (CAB), Video onboardingNo Comments

El BOE del 1 de abril de 2020 incluye el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

En su disposición adicional undécima se incluyen «Medidas provisionales para la expedición de certificados electrónicos cualificados».

El texto de esta disposición es el siguiente:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

TCAB, Trust Conformity Assessment Body ya ha realizado auditorías de este tipo para entidades que cuentan con servicios de videoidentificación. La primera de ellas fue a Electronic Identification, S.L.

Contactenos llamando al +34 913 88 07 89 o con un mail a info arroba tcab.eu

01 de abril de 2020

Nuevos OIDs de ETSI para políticas de servicios de validación de firma

By #eIdAS, eIDAS, Electronic Signatures, OID, Qualified electronic signatures Validation, Servicios de Confianza Digital, Trust Electronic Services, Trust Service ProvidersNo Comments

El borrador de la nueva norma  ETSI TS 119 441 propone nuevos OIDs de ETSI para políticas de validación de firma:

  • itu-t(0) identified-organization(4) etsi(0) VAL SERVICE-policies(9441) policy-identifiers(1) main (1)
  • itu – t(0) identified – organization(4) etsi(0) VAL SERVICE – policies( 9 441) policy – identifiers(1) qualified (2)
Es decir:
  • OID 0.4.0.9441.1.1 como el OID principal para servicios de validación de firmas electrónicas y sellos electrónicos, y
  • OID 0.4.0.9441.1.2 como el OID para servicios cualificados de validación de firmas electrónicas y sellos electrónicos talcomo se define en loas artículos 32 y 33 del Reglamento UE 910/2014 (EIDAS)

Artículo 32

Requisitos de la validación de las firmas electrónicas cualificadas

1.   El proceso de validación de una firma electrónica cualificada confirmará la validez de una firma electrónica cualificada siempre que:

a)

el certificado que respalda la firma fuera, en el momento de la firma, un certificado cualificado de firma electrónica que se ajusta al anexo I;

b)

el certificado cualificado fuera emitido por un prestador de servicios de confianza y fuera válido en el momento de la firma;

c)

los datos de validación de la firma corresponden a los datos proporcionados a la parte usuaria;

d)

el conjunto único de datos que representa al firmante en el certificado se facilite correctamente a la parte usuaria;

e)

en caso de que se utilice un seudónimo, la utilización del mismo se indique claramente a la parte usuaria en el momento de la firma;

f)

la firma electrónica se haya creado mediante un dispositivo cualificado de creación de firmas electrónicas;

g)

la integridad de los datos firmados no se haya visto comprometida;

h)

se hayan cumplido los requisitos previstos en el artículo 26, en el momento de la firma.

2.   El sistema utilizado para validar la firma electrónica cualificada ofrecerá a la parte usuaria el resultado correcto del proceso de validación y le permitirá detectar cualquier problema que afecte a la seguridad.

3.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a la validación de las firmas electrónicas cualificadas. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 33

Servicio de validación cualificado de firmas electrónicas cualificadas

1.   Solo podrá prestar un servicio de validación cualificado de firmas electrónicas cualificadas el prestador cualificado de servicios de confianza que:

a)

realice la validación de conformidad con el artículo 32, apartado 1, y

b)

permita que las partes usuarias reciban el resultado del proceso de validación de una manera automatizada que sea fiable, eficiente e incluya la firma electrónica avanzada o el sello electrónico avanzado del prestador cualificado de servicio de validación.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas al servicio de validación cualificado a que se refiere el apartado 1. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando la validación de una firma electrónica cualificada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

30 de marzo de 2018

Grado de implementación de eIDAS en la UE

By #eIdASNo Comments

El Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (más conocido como eIDAS), que entró en vigor el pasado 1 de julio de 2016, ha vivido una implementación desigual en los países de la Unión Europea.

A continuación analizamos el grado de implementación en los principales países de la UE:

 

  • Francia:

No existe todavía una ley nacional pero existen diferentes procedimientos y requisitos basados en la normativa ETSI.

Organismo supervisor: ANSSI (Agence nationale de la sécurité des systèmes d’information)

Link: www.ssi.gouv.fr

 

  • Alemania:

No existe todavía una ley nacional pero existen diferentes procedimientos y requisitos basados en la normativa ETSI.

Organismo supervisor: BSI (Federal Office for Information Security).

Link: www.bsi.bund.de

 

  • Bélgica:

Se aplica la ley nacional, sin vinculación con las normas ETSI o CEN.

Los Organismos de Evaluación de la Conformidad se acreditan según las Normas ISO / IEC 17065 + ETSI EN 319 403.

Organismo Supervisor: Service Publique fédéral Economie, PME, Classes Moyennes et Energie.

Link: economie.fgov.be/fr/

 

  • España:

Aplica la Ley 39/2015, de Procedimiento Administrativo Común. No existen procedimientos específicos para Prestadores de Servicios de Confianza.

Organismo Supervisor: Ministerio de Energía, Turismo y Agenda Digital (MINETUR).

Link: https://sede.minetur.gob.es/

 

  • Italia:

No existe una ley nacional, sino un sistema de acreditación nacional, basado en EN 319 403, administrado por ACCREDIA (2 CAB acreditados – VERITAS y CSQA).

Organismo supervisor: Agenzia per l’Italia Digitale.

Link: www.agid.gov.it/

 

  • Holanda:

No hay leyes nacionales, sino procedimientos nacionales para notificaciones de incumplimiento y acreditación del CAB.

Organismo Supervisor: Authority for Consumers and Markets y Agentschap Telecom.

Links: https://www.acm.nl/en y https://www.agentschaptelecom.nl/.

 

  • Reino Unido:

La ley nacional para la aplicación eIDAS define los procedimientos aplicables para cada tipo de servicio de confianza.

Organismo supervisor: The Information Commissioner.

Link: https://ico.org.uk/

 

Puede consultar la tabla completa en el siguiente link.

07 de noviembre de 2017

EIDAS celebra su primer aniversario

By #eIdASNo Comments

El Reglamento (UE) nº 910/2014 (eIDAS), que entró en vigor en julio de 2016, ha cumplido recientemente un año de vida. Por ello, analizamos las principales claves de este Reglamento:

  • La novedad principal ha consistido en la armonización de los requisitos para el reconocimiento mutuo de la identificación electrónica a nivel comunitario.

 

  • El Reglamento ha creado la “etiqueta de confianza de la UE”, que distingue claramente los servicios de confianza cualificados de los demás servicios de confianza.

 

  • Introduce el concepto de Prestadores Cualificados de Servicios de Confianza y Servicios Electrónicos de Confianza.

En concreto, ha creado los siguientes servicios cualificados (aquellos que cumplen con los requisitos aplicables en el Reglamento (UE) nº 910/2014): firmas electrónicas y sellos electrónicos. Las firmas electrónicas se destinan a personas físicas y los sellos electrónicos a personas jurídicas.

 

  • Especifica nuevos niveles de identificación electrónica, bajo y sustancial, que resultan útiles en mecanismos de identificación en diferentes contextos tecnológicos y de negocio, como firmas manuscritas en dispositivos móviles o soluciones de firma en la nube.

 

  • Introduce el concepto de Firma electrónica en tres niveles diferentes:

– Firma Electrónica: La definición de firma electrónica no se modifica bajo eIDAS. La firma electrónica tiene efectos legales y es admisible como prueba en procedimientos legales.

-Firma Electrónica Avanzada: Permite la identificación y autenticación única del firmante de un documento y permite comprobar la integridad del documento firmado. Normalmente, esta autenticación suele alcanzarse con la emisión de un certificado digital por una Autoridad de Certificación (CA).

-Firma Electrónica Cualificada: Son el equivalente electrónico de las firmas manuscritas. Se basan en Certificados Cualificados, que solo pueden ser emitidos por una CA acreditada por los Estados miembros de la UE y deben cumplir los requisitos de eIDAS. Estas son las únicas firmas que aseguran el reconocimiento mutuo de su validez por todos los Estados miembros de la UE.

 

  • Reconoce las firmas electrónicas como prueba en juicio en toda la UE.

 

  • Reconoce la admisibilidad como prueba en un juicio y su efecto jurídico en todas las firmas electrónicas aunque solo equipara las firmas electrónicas cualificadas con las firmas manuscritas y a los sellos electrónicos cualificados les otorga la presunción de integridad y corrección del origen de los datos a los que el sello esté vinculado.

 

  • Introduce las Listas de Confianza (Trusted Lists), donde se recoge a los Prestadores de Servicios Electrónicos de Confianza cualificados y los servicios que ofrecen. Los PSCs y sus servicios solo serán cualificados si aparecen en estas listas.

 

  • Se regulan los dispositivos cualificados de creación de firma. Estos deben cumplir los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. La Comisión Europea establecerá, publicará y mantendrá una lista de dispositivos cualificados de creación de firma/sello electrónico con la información suministrada por los distintos Estados Miembros.

 

  • Se habilita la identificación remota en vez de presencial para la obtención de certificados de firma electrónica.

 

  • Respecto a la auditoría de Prestadores de Servicios de Confianza, eIDAS establece que estos deben ser evaluados cada 24 meses por un Organismo de Evaluación de la Conformidad.

 

eIDAS facilita la prestación de servicios transfronterizos y permite a las empresas actuar fuera de sus fronteras. En última instancia beneficia a ciudadanos, empresas y Administraciones Públicas en tareas como el pago de impuestos, licitaciones públicas, firma de contratos online, transacciones económicas mediante banca electrónica y servicios de salud online, entre otros.

 

Fuente: Comisión Europea

25 de octubre de 2017

Algunas claves del Reglamento nº 910/2014 (EIDAS)

By #eIdASNo Comments

I.- Utilización de sistemas de identificación y firma de forma transfronteriza

La transposición de la Directiva 1999/93 se realizó de forma irregular y nunca ha parecido que estuviera suficientemente claro que los certificados de firma electrónica e identificación expedidos por los Prestadores de Servicios de Certificación de un Estado miembro tuvieran que ser admitidos por el resto de los estados, en particular en sus servicios de administración electrónica.

Desde el 1 de julio de 2016 por la aplicación directa del Reglamento UE 910/2014 este concepto queda aclarado definitivamente. Veremos cómo se va asumiendo en las implementaciones.

II.- Los PSC (Prestadores de Servicios de Certificación) se denominarán PSEC (Prestadores de Servicios Electrónicos de Confianza)

Ahora se denominan Prestadores de Servicios de Confianza. Y pueden expedir certificados cualificados (equivalentes a los certificados reconocidos de la Ley 59/2003) o certificados no cualificados.

Un tipo concreto de servicio de confianza es la expedición de certificados de persona física, (lo que es compatible con el servicio previsto en la Ley 59/2003) y entre ellos los certificados cualificados (en la citada ley se les llamaba «reconocidos»).

Debe presentarse al organismo de supervisión (en España, la Secretaría de Estado de Telecomunicaciones y Sociedad de la Información) una notificación de su intención junto con un informe de evaluación de la conformidad expedido por un Organismo de Evaluación de la Conformidad (en España, la Entidad Nacional de Acreditación). Si se le concede la posibilidad de expedir certificados cualificados, se le incluirá en una lista de confianza (que cada Estado Miembro publicará con información de todos los Prestadores Cualificados de Servicios de Confianza) y podrá usar la etiqueta de confianza «UE», para indicar los servicios que presta.

Es de destacar que aumentan los mecanismos de control sobre todos los prestadores de servicios (tanto si expiden certificados cualificados como si no), los cuales serán auditados cada 24 meses para confirmar que cumplen con lo dispuesto en el Reglamento.

III.- La responsabilidad de los prestadores de servicios

Siguen siendo responsables de los perjuicios causados de forma deliberada o por negligencia a cualquier persona en razn del incumplimiento de las obligaciones establecidas en el Reglamento. Sin embargo, se eliminan las limitaciones de la responsabilidad del artculo 23 de la Ley 59/2003, siendo la carga de la prueba (i) de la persona que alegue el daño, cuando el prestador expide certificados no cualificados, o (ii) del prestador de servicios que expide certificados cualificados, debiendo este probar que los perjuicios se produjeron sin intención ni negligencia alguna por su parte.

IV.- Los certificados de persona jurdica

El Reglamento no prevé la emisión de certificados de firma electrónica a favor de personas jurdicas o entidades sin personalidad jurdica. A este tipo de entidades reserva únicamente los sellos electrónicos, que permiten acreditar la autenticidad del origen y la integridad del documento sellado.

V.- Los nuevos servicios regulados

Aparte de la firma electrónica (definida, como en la Ley 59/2003, en 3 tipos, firma electrónica, avanzada y cualificada), el Reglamento también regula el sello electrónico (del que también se diferencian 3 tipos), el sello de tiempo electrónico, el servicio de entrega electrónica certificada, el documento electrónico y la autenticación del sitio web. El considerando 55 del Reglamento abre además la posibilidad de generar firmas electrónicas cualificadas como la firma móvil o la firma en nube, lo cual puede dinamizar enormemente el mercado de la firma electrónica.

Accede aquí al Reglamento 910/2014(eIDAS).

 

17 de octubre de 2017