Category

Electronic Trust Services

Componente de videoidentificación remota para servicios EIDAS de emisión de certificados

By #eIdAS, Auditoría, Certificados cualificados, Conformity Assessment, Electronic Trust Services, EN 319 411-1, EN 319 411-2, Remote identification, SEPBLAC, TS 119 461, Video onboardingNo Comments

La comprobación de identidad no es un servicio de confianza eIDAS por sí mismo, sino un componente de otros servicios de confianza. Un componente de servicio de comprobación de identidad remota puede ser utilizado por muchos servicios de confianza diferentes.

Los prestadores de servicios de identificación remota en base a sistemas de transmisión de video y audio desde el equipo del solicitante pueden ser auditados siguiendo la norma ETSI EN 319 403-1 de modo que esta auditoría pueda ser utilizada posteriormente por un prestador cualificado de servicios de emisión de certificados sin que este apartado del servicio tenga que ser auditado de nuevo.

La norma utilizada para evaluar prestadores de servicios de identificación remota es la recientemente publicada ETSI TS 119 461.  Esta norma se ha desarrollado considerando los siguientes aspectos:

  • Está basada en la norma ETSI EN 319 401 que recoge los requisitos comunes para todos los servicios de confianza.
  • Incluye requisitos específicos para la comprobación de la identidad de personas físicas.
  1. Recopila los requisitos de las mejores prácticas sobre cómo utilizar determinados medios para implementar las tres tareas de «recogida de atributos y evidencias electrónicas»,
    «comprobación de atributos y evidencias electrónicas», y «vinculación de la acción solicitada (por ejemplo, emisión de un certificado) con la identidad de solicitante».
  2. Especifica cómo pueden construirse los procesos de demostración de la identidad mediante la combinación de medios para alcanzar el resultado básico deseado del proceso de comprobación de la identidad
  • Enlaza con los requisitos del apartado 6.2 de las normas  EN 319 411-1 y EN 319 411-2 6.2 indicando formas de dar cumplimiento a esos requisitos mediante la identificación remota.
  • Aunque establece los requisitos específicos para prestar servicios de confianza cualificados, por ejemplo, de expedición de certificados cualificads de persona física,  el servicio de comprobación de la identidad no es por si solo un servicio cualificado.

Los requisitos de seguridad de la norma ETSI TS 119 461 cubren los riesgos más comunes, que se dividen en dos categorías principales:

  • Evidencias falsificadas: Un solicitante alega falsamente una identidad  utilizando medios de pruebas falsificados.
  • Suplantación de identidad: Un solicitante utiliza medios de prueba válidos asociados a otra persona

También se tienen en cuenta potenciales riesgos operativos y los riesgos de ingeniería social.

Las notificaciones electrónicas y el correo electrónico certificado esenciales en las relaciones a distancia

By #eIdAS, Auditoría, Conformity Assessment, Conformity Assessment Body, electronic delivery, Electronic Trust Services, Entrega certificada, notificacionesNo Comments

Cuando las calles, negocios y edificios públicos se vaciaban, otros lugar ganaban protagonismo. Las notificaciones electrónicas ya lo venían haciendo, pero son otras de las protagonistas de este periodo de Estado de alarma por la pandemia COVID-19. 

Un sistema electrónico de notificaciones  permite que cualquier tipo de persona física o jurídica, pueda recibir los distintos avisos y documentos que las Administraciones Públicas han emitido  en formato digital.

La Agencia Tributaria, la Dirección General De Tráfico o la Seguridad Social son los principales organismos emisores de este tipo de notificaciones que permiten a las entidades públicas un ahorro importante en aspectos de mensajería y a los usuarios ahorrar tiempo de desplazamiento ya que no hsy que estar presentes en el momento en el que la notificación es entregada. 

El sectot privado también ha desarollado sistemas de notificación fehaciente, que en la actualidad pueden adaptarse a lo exigido por el Reglamento UE 910/2014 (EIDAS) y así pueden convertirse en sistemas de entrega certificada. Lo contempla en Reglamento EIDAS en los artículos 43 y 44:

Artículo 43

Efecto jurídico de un servicio de entrega electrónica certificada

1.   A los datos enviados y recibidos mediante un servicio de entrega electrónica certificada no se les denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales por el mero hecho de que estén en formato electrónico o no cumplan los requisitos de servicio cualificado de entrega electrónica certificada.

2.   Los datos enviados y recibidos mediante un servicio cualificado de entrega electrónica certificada disfrutarán de la presunción de la integridad de los datos, el envío de dichos datos por el remitente identificado, la recepción por el destinatario identificado y la exactitud de la fecha y hora de envío y recepción de los datos que indica el servicio cualificado de entrega electrónica certificada.

Artículo 44

Requisitos de los servicios cualificados de entrega electrónica certificada

1.   Los servicios cualificados de entrega electrónica certificada cumplirán los requisitos siguientes:

a)

ser prestados por uno o más prestadores cualificados de servicios de confianza;

b)

asegurar con un alto nivel de fiabilidad la identificación del remitente;

c)

garantizar la identificación del destinatario antes de la entrega de los datos;

d)

estar protegidos el envío y recepción de datos por una firma electrónica avanzada o un sello electrónico avanzado de un prestador cualificado de servicios de confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte;

e)

indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos;

f)

indicar mediante un sello cualificado de tiempo electrónico la fecha y hora de envío, recepción y eventual modificación de los datos.

En caso de que los datos se transfieran entre dos o más prestadores cualificados de servicios de confianza, se aplicarán los requisitos establecidos en las letras a) a f) a todos los prestadores cualificados de servicios de confianza.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los procesos de envío y recepción de datos. Se presumirá el cumplimiento de los requisitos establecidos en el apartado 1 cuando el proceso de envío y recepción de datos se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Aunque la Comisión no ha publicado normas  que supongan la presunción de cumplimiento, ETSI ha publicado las siguientes normas de evaluación:

  • EN 319 521 – Política y requisitos de seguridad para los proveedores de servicios de entrega electrónica certificada (Policy & security requirements for electronic registered delivery service providers )
  • EN 319 531 – Política y requisitos de seguridad para los proveedores de servicios de correo electrónico certificado – CEC (Policy & security requirements for registered electronic mail – REM – service providers)-

En TCAB, estamos en disposición de evaluar prestadores de servicios de confianza de entrega electrónica certificada según el Reglamento EIDAS y la normativa técnica de ETSI. Llamenos al +34 91 388 0789 para aclarar sus dudas.

 

Audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza

By Electronic Trust ServicesNo Comments

El Ministerio de Energía, Turismo y Agenda Digital ha publicado en su página web una nueva información relativa a la evolución normativa de aplicación a los servicios de confianza digital.

En el mes de diciembre de 2016 el MINETAD solicitó sugerencias respecto a los aspectos que debería cubrir la nueva Ley que sustituirá a la de Firma Electrónica y en esta fase continúa la tramitación de la nueva Ley sobre determinados aspectos de los servicios electrónicos de confianza.

La actual Ley 59/2003, de firma electrónica, entra en conflicto en varios aspectos con el Reglamento UE 910/2014  (EIDAS) por lo que se hace preciso adaptar el ordenamiento jurídico español a lo dispuesto en el citado Reglamento

El Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE es de directa aplicación en todos los países miembro de la unión europea y las legislaciones nacionales solo debe regular aspectos que no estén incluidos en el Reglamento.

En este sentido, y de acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, el MINETAD ha invitado a los diferentes  “stakeholders” para que participen en la audiencia pública que puede encontrar en el siguiente enlace:

http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/Cerradas/servicios-electronicos-confianza.aspx

(era http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/servicios-electronicos-confianza.aspx)

El conjunto de las aportaciones permitirá contribuir a garantizar el acierto de la nueva norma, por lo que se anima a todo los interesados  participar en esta audiencia pública remitiendo al buzón lfe@minetad.es cuantas observaciones estimen oportunas al texto del anteproyecto de ley.

De acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, se sustancia la audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza. Esta ley complementa en el Ordenamiento jurídico español al Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Plazo de remisión

Las observaciones podrán remitirse hasta el 30 de abril de 2017

Forma de presentar las observaciones

Las observaciones deberán cursarse a la dirección de correo electrónico: lfe@minetad.es

Anexos