Category

Video onboarding

Componente de videoidentificación remota para servicios EIDAS de emisión de certificados

By #eIdAS, Auditoría, Certificados cualificados, Conformity Assessment, Electronic Trust Services, EN 319 411-1, EN 319 411-2, Remote identification, SEPBLAC, TS 119 461, Video onboardingNo Comments

La comprobación de identidad no es un servicio de confianza eIDAS por sí mismo, sino un componente de otros servicios de confianza. Un componente de servicio de comprobación de identidad remota puede ser utilizado por muchos servicios de confianza diferentes.

Los prestadores de servicios de identificación remota en base a sistemas de transmisión de video y audio desde el equipo del solicitante pueden ser auditados siguiendo la norma ETSI EN 319 403-1 de modo que esta auditoría pueda ser utilizada posteriormente por un prestador cualificado de servicios de emisión de certificados sin que este apartado del servicio tenga que ser auditado de nuevo.

La norma utilizada para evaluar prestadores de servicios de identificación remota es la recientemente publicada ETSI TS 119 461.  Esta norma se ha desarrollado considerando los siguientes aspectos:

  • Está basada en la norma ETSI EN 319 401 que recoge los requisitos comunes para todos los servicios de confianza.
  • Incluye requisitos específicos para la comprobación de la identidad de personas físicas.
  1. Recopila los requisitos de las mejores prácticas sobre cómo utilizar determinados medios para implementar las tres tareas de «recogida de atributos y evidencias electrónicas»,
    «comprobación de atributos y evidencias electrónicas», y «vinculación de la acción solicitada (por ejemplo, emisión de un certificado) con la identidad de solicitante».
  2. Especifica cómo pueden construirse los procesos de demostración de la identidad mediante la combinación de medios para alcanzar el resultado básico deseado del proceso de comprobación de la identidad
  • Enlaza con los requisitos del apartado 6.2 de las normas  EN 319 411-1 y EN 319 411-2 6.2 indicando formas de dar cumplimiento a esos requisitos mediante la identificación remota.
  • Aunque establece los requisitos específicos para prestar servicios de confianza cualificados, por ejemplo, de expedición de certificados cualificads de persona física,  el servicio de comprobación de la identidad no es por si solo un servicio cualificado.

Los requisitos de seguridad de la norma ETSI TS 119 461 cubren los riesgos más comunes, que se dividen en dos categorías principales:

  • Evidencias falsificadas: Un solicitante alega falsamente una identidad  utilizando medios de pruebas falsificados.
  • Suplantación de identidad: Un solicitante utiliza medios de prueba válidos asociados a otra persona

También se tienen en cuenta potenciales riesgos operativos y los riesgos de ingeniería social.

Certificados cualificados por videoidentificación en el BOE

By #eIdAS, Conformity Assessment Body, Conformity Assessment Body (CAB), Video onboardingNo Comments

El BOE del 1 de abril de 2020 incluye el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

En su disposición adicional undécima se incluyen «Medidas provisionales para la expedición de certificados electrónicos cualificados».

El texto de esta disposición es el siguiente:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

TCAB, Trust Conformity Assessment Body ya ha realizado auditorías de este tipo para entidades que cuentan con servicios de videoidentificación. La primera de ellas fue a Electronic Identification, S.L.

Contactenos llamando al +34 913 88 07 89 o con un mail a info arroba tcab.eu

Evaluación de soluciones de «Video onboarding» en el marco de la normativa del SEPBLAC

By Video onboardingOne Comment

TCAB (Trust Conformity Assessment Body) ha inscrito un experto en técnicas de gestión de identidad electrónica como evaluador en el marco de la normativa de prevención del blanqueo de capitales, supervisada por el SEPBLAC.

De este modo está en disposición de auditar las medidas de control utilizadas en los entornos de “video onboarding” de las entidades financieras en el contexto de la reciente normativa publicada al efecto por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (el ya citado SEPBLAC).

La Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias , dependiente de la Secretaría de Estado de Economía y Apoyo a la Empresa del Ministerio de Economía y Competitividad, creada por la Ley 19/1993 de 28 de diciembre, es un órgano colegiado del que forman parte representantes de diferentes departamentos ministeriales y Agencias, el Ministerio Fiscal, así como de las Comunidades Autónomas. Es el máximo responsable del desarrollo de la política preventiva y de lucha contra el blanqueo de capitales en España. Actualmente se encuentra regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo.

La Comisión cuenta con el apoyo de la Secretaría, actualmente desempeñada por la Subdirección General de Inspección y Control de Movimientos de Capitales de la Secretaría General del Tesoro y Política Financiera, y del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

El SEPBLAC es la unidad de inteligencia financiera española y desempeña las actuaciones tendentes a la prevención e impedimento de la utilización del sistema financiero o de empresas o profesionales de otra naturaleza para el blanqueo de capitales, así como las funciones de investigación y prevención de las infracciones administrativas del régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado. Esta gestión ya ha sido realizada por TCAB.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

Es responsabilidad de los sujetos obligados seleccionar profesionales idóneos, así como verificar que el examen externo se realice en los términos establecidos en la Orden EHA/2444/2007, de 31 de julio.

TCAB es una entidad de evaluación de productos y servicios relacionados con la seguridad informática y, en particular, de Prestadores de Servicios Electrónicos de Confianza, en el marco de la normativa #eIdAS (Reglamento Europeo UE 910/2014). Se rige por la norma ISO 17065 y por la norma EN 319 403 en la relativo a la evaluación de Prestadores.

Por su especialización y por las gestiones ya realizadas, puede elaborar el Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales y la financiación del terrorismo. En particular en aplicación de la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA publicada por el SEBPLAC.

La citada autorización permite el empleo por los sujetos obligados de procedimientos de identificación no presencial mediante videoconferencia con arreglo a las siguientes especificaciones:

  • Los procedimientos de identificación no presencial mediante videoconferencia únicamente serán aplicables a clientes provistos de los documentos fehacientes de identificación a que se refiere el artículo 6 del Reglamento de la Ley 10/2010.
  • Con carácter previo a la efectiva implantación de un procedimiento de identificación no presencial mediante videoconferencia, el sujeto obligado deberá realizar el análisis de riesgo específico a que se refiere el artículo 32.2 del Reglamento de la Ley 10/2010.
  • Con carácter previo a la efectiva implantación de un procedimiento de identificación no presencial mediante videoconferencia, el sujeto obligado documentará el procedimiento y testará su eficacia, reseñando por escrito los resultados. No se procederá a la implantación efectiva del procedimiento si los resultados de las pruebas no acreditan su eficacia.
  • Será responsabilidad del sujeto obligado implantar los requerimientos técnicos que aseguren la autenticidad, vigencia e integridad de los documentos de identificación utilizados y la correspondencia del titular con el cliente objeto de identificación.
  • Los procedimientos de identificación no presencial mediante videoconferencia deberán ser gestionados por personal con formación específica. Dicha formación, que será congruente con las funciones desempeñadas, deberá quedar acreditada de conformidad con lo dispuesto en el artículo 39 del Reglamento de la Ley 10/2010.
  • El proceso de identificación mediante videoconferencia deberá ser grabado con constancia de fecha y hora, conservándose la grabación de conformidad con lo dispuesto en el artículo 25 de la Ley 10/2010. El cliente deberá consentir expresamente la realización del procedimiento de identificación no presencial mediante videoconferencia y la grabación y conservación del proceso, con carácter previo o en el curso del mismo.
  • Durante el desarrollo de la videoconferencia, el sujeto obligado adoptará medidas que aseguren la privacidad de la conversación mantenida con el cliente.
  • En todo caso, en el curso de la videoconferencia el cliente objeto de identificación deberá exhibir visiblemente el anverso y reverso del documento empleado para su identificación.
  • El proceso de identificación no podrá completarse cuando (i) existan indicios de falsedad o manipulación del documento de identificación, o (ii) existan indicios de falta de correspondencia entre el titular del documento y el cliente objeto de identificación, o (iii) las condiciones de la comunicación impidan o dificulten verificar la autenticidad e integridad del documento de identificación y la correspondencia entre el titular del documento y el cliente objeto de identificación.
  • El sujeto obligado deberá obtener y conservar una fotografía o instantánea del anverso y reverso del documento de identificación utilizado. La fotografía o instantánea obtenida deberá reunir las condiciones de calidad y nitidez que permitan su uso en investigaciones o análisis y será conservada de acuerdo con lo establecido en el artículo 25 de la Ley 10/2010.
  • Con carácter previo a la ejecución de cualesquiera operaciones, el sujeto obligado verificará que el cliente no está sometido a sanciones o contramedidas financieras internacionales, en los términos establecidos en el artículo 42 de la Ley 10/2010.
  • La ejecución de los procedimientos de identificación no presencial mediante videoconferencia podrá ser externalizada, manteniendo el sujeto obligado la plena responsabilidad.
  • El informe de experto externo a que se refiere el artículo 28 de la Ley 10/2010 deberá pronunciarse expresamente sobre la adecuación y eficacia operativa del procedimiento de identificación no presencial mediante videoconferencia.
  • La presente autorización se entiende sin perjuicio del cumplimiento por los sujetos obligados de cualesquiera otras obligaciones legales, en particular en materia tributaria, de ordenación y disciplina, de información y protección del consumidor y de protección de datos de carácter personal.
  • Los procedimientos específicos de identificación no presencial mediante videoconferencia que los sujetos obligados establezcan al amparo de esta autorización no estarán sujetos a nueva autorización, sin perjuicio de que el Servicio Ejecutivo pueda proceder a su control en ejercicio de las potestades de supervisión e inspección que le atribuye el artículo 47 de la Ley 10/2010.