Diferencias del EJIS respecto al ENI y al ENS


Recientemente el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica) ha publicado las bases del Esquema Judicial de Interoperabilidad y Seguridad de 6 de julio de 2015.

El EJIS (Esquema Judicial de Interoperabilidad y Seguridad) se inspira en el Esquema Nacional de Interoperabilidad (ENI) y en el Esquema Nacional de Seguridad (ENS), con algunas diferencias determinadas por las leyes procesales y la Ley marco de la digitalización de la Justicia, la Ley 18/11, de 5 de julio, que singulariza para el ámbito de la Justicia algunas de las principales aportaciones de la Ley 11/2007.

Algunas de las diferencias más reseñables respecto al ENI (RD 4/2010) son las siguientes:

  • Catálogo de Estándares: EJIS presenta compatibilidad con los formatos utilizados en el marco de AGE (Administración General del Estado). Además, permite al CTEAJE definir el suyo si se diera el caso.
  • Interoperabilidad: La redacción del EJIS es aclaratoria de las dimensiones de la interoperabilidad del Esquema Nacional centrado en el ámbito de la Administración de justicia (AJ) ya que tiene
    en cuenta las peculiaridades del ámbito de justicia en sus tres ámbitos (con la Administración de Justicia, con los ciudadanos y profesionales y con el resto de Administraciones Públicas)
  • Inventarios de información Administrativa: En enfoque se realiza sobre el Test de Compatibilidad del CGPJ (Consejo general del Poder Judicial) dado que los procedimientos serán los que figuren en los inventarios de información judicial de acuerdo con las leyes procesales y el Test de Compatibilidad.
  • Activos Semánticos del Test de Compatibilidad del CGPJ, modelo de datos lógico para conseguir un intercambio de información entre sistemas (asuntos, recursos y exhortos).
  • Firma Electrónica:
    • Alineamiento con el Reglamento europeo UE 910/2014.
    • Política única de firma electrónica para toda la AJ (Administración de justicia).
    • Simplificación de certificados de firma y sello asociados a órganos judiciales.
    • Accesibilidad: admisión amplia de firmas de ciudadanos.
    • Diferencia la autenticación de la firma electrónica
    • Admisión de prestadores de cualquier país de la Unión Europea.
  • Digitalización Certificada: se contempla procedimiento de homologación. No existe el concepto en la AGE, sólo digitalización “que garantizará la imagen fiel”, en justicia se permite certificar el software con el que se digitaliza.
  • Declaración de Conformidad: en la AGE es genérica dado que es una mera declaración; en la AJ hay un índice de aspectos de cumplimiento que permiten acreditarlo en mayor o menor medida.
  • Custodia Documental (Conservación): se indica la presunción de mantenimiento de integridad y autenticidad del EJE (Expediente Judicial Electrónico) y del DJE (Documento Judicial Electrónico), acompañadas de medidas de seguridad

Algunas de las diferencias más reseñables del EJIS respecto al ENS (RD 3/2010) son las siguientes:

  • Categorías de los Sistemas:
    • EJIS añade la dimensión de seguridad CONSERVACIÓN que viene contemplada en la propia Ley 18/2011. El concepto de archivo judicial se extiende a períodos de conservación que en el ámbito administrativo se considerarían prescritos y sin necesidad de conservación.
    • Se aclara la forma de determinar los niveles de las dimensiones y las categorías.
  • Auditoría: Se elimina la auditoria como requisito del EJIS, ya que es una competencia del CGPJ.
  • Medidas de Seguridad:
    • Se mantienen las medidas de seguridad como marco de requisitos a cumplir por los órganos judiciales.
    • Se refuerza la exigencia de algunas medidas, en especial en firma electrónica y en custodia de evidenciaselectrónicas.
  • Guía Técnica de Seguridad: se prevé la publicación de nueva norma específica para ampliar el detalle de la sección de seguridad del EJIS, que amplia la normativa de seguridad del Test de compatibilidad.
  • Coordinación: el CTEAJE coordinará la gestión de incidentes entre los órganos que los sufran y los servicios prestados por el Centro Criptológico Nacional

Se puede ampliar la información en esta interesante presentación sobre la Modernización de la Administración de Justicia

Aplicabilidad del Reglamento Europeo UE 910/2014 (EIdAS)


A diferencia de la Directiva 93/1999 /CEE del Consejo, el Reglamento (UE)  nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (denominado reglamento eIDAS por las iniciales de Electronic Identificatiom Authentication and Signature) que entró en vigor el 17 de septiembre de 2014, tendrá un impacto directo y, en algunos casos,  supondrá la derogación de las leyes nacionales vigentes en los Estados miembros.

El Reglamento se aplicará gradualmente en los próximos meses con plazos de entrada en vigor escalonados que concluirán el 01 de julio 2016, con la derogación de la Directiva 93/1999 / CEE.

Desde su entrada en vigor el 17 de septiembre de 2014, ya son de aplicación las disposiciones contenidas en los artículos 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 y 48. El resto de las disposiciones, a excepción de los artículos 7, 8.1, 8.2, 9, 10, 11 y 12.1, que se aplicará a partir del 18 septiembre de 2015, deben ser implementadas a partir del 1 de julio de 2016. Sólo el  artículo 6 se aplicará a partir del 18 de septiembre 2018.

Desde 01 de julio de 2016 en adelante:

  • Los Dispositivos de Creación de Firma (denominados antes Dispositivos Seguros de Creación de Firma y ahora Dispositivos Cualificados de Creación de Firma) que tuvieran la consideración de tales según  el artículo 3.4  de la Directiva 93/1999 /CEE,  mantendrán su reconocimiento tras la nueva norma (Reglamento eIdAS).
  • Los certificados reconocidos expedidos a personas físicas de acuerdo con la Directiva 93/1999 /CEE se consideran hasta su vencimiento certificados cualificados de acuerdo con la nueva norma (Reglamento eIdAS).
  • Para ser considerados prestadores de servicios de confianza digital cualificados de acuerdo con el Reglamento eIDAS, los Prestadores de Servicios de Certificación que emitían  ​​certificados reconocidos de acuerdo con la Directiva 93/1999 / CEE deben presentar a partir del 01 de julio de 2017 un informe de evaluación sobre el cumplimiento de la normativa técnica y organizativa aplicable al órgano de supervisión (Minetur, en el caso de España).

La aplicación del Reglamento eIdAS, implica la puesta en marcha de 7 actos de ejecución que deben adoptarse en un  año:

  • 3 actos de ejecución relativos a la identificación y autenticación digital (eID)
  • 4 actos de ejecución en materia de servicios de confianza digital
    • Formatos de firma electrónica (artículo 27.4)
    • Formatos de sellos electrónicos (artículo 37.4)
    • Listas de confianza (artículo 22.5)
    • Marca de confianza de la UE (artículo 23.3)

En los más de 16 años de vigencia de la Directiva 93/1999 /CEE del Consejo, cada Estado miembro la ha desarrollado en su legislación nacional adoptando, en algunos casos normas técnicas de organismos como ETSI y CEN. En España, entre otras normas la Ley 59/2003, con disposiciones sobre firmas electrónicas en la Ley 11/2007 y en la Ley 18/2011.

El impacto revolucionario del Reglamento, sin embargo, cambia todos los paradigmas existentes anteriormente, que pueden considerarse los causantes de la falta de interoperabilidad transnacional en el mercado único europeo. El nuevo modelo, destinado a facilitarla, todavía tiene que demostrar su utilidad en un contexto internacional en el que los mayores avances se han producido a partir de la adopción de incoativas de la industria a través del CAB Forum, solo para el ámbito de los certificados para servidores web, en un modelo como en norteamericano de escasa regulación.

Proyecto e-Ark, un arca para preservar archivos digitales y conocimiento


El Proyecto e-Ark (European Archival Records and Knowledge Preservation) es un proyecto multinacional de 6 Millones de euros y de 3 años de duración cofinanciado por la Comisión Europea en el marco de Programa de Soporte de Políticas TIC (ICT Policy Support Programme) y del programa de Competitividad e Innovación (Competitiveness and Innovation Framework Programme – CIP) y se extenderá desde el 1 de febrero de 2014 hasta el 31 de enero de 2017. En el proyecto participa el DLM Forum.

Los Archivos proporcionan un componente indispensable del ecosistema digital por salvaguardar la información y permitir el acceso a la misma. Se requiere la armonización de diferentes enfoques de archivo actualmente fragmentados para lograr economías de escala necesarias que permitan la adopción general de soluciones de extremo a extremo. Existe una necesidad crítica de establecer una metodología general para abordar retos operativos y de negocio y diseñar soluciones técnicas que permitan la captura, preservación y reutilización de documentos electrónicos.

En cooperación con los proveedores de sistemas comerciales, E-ARK creará y sostendrá en su fase piloto una metodología paneuropea para el archivado de documentos electrónicos, sintetizando las mejores prácticas nacionales e internacionales existentes, para mantener los registros y bases de datos auténticos y utilizables a lo largo del tiempo.

La metodología se aplicará en un piloto abierto en varios contextos nacionales, utilizando herramientas existentes o prototipos, y servicios desarrollados por los socios. Esto proporcionará a las instituciones encargadas de preservar la memoria documental y a sus usuarios (tanto del sector público como privado) una base para evaluar, en un contexto operacional, la idoneidad de esas tecnologías de última generación.

El Foro DLM también ayudará a extender los resultados del proyecto más allá de la fecha de terminación del proyecto en febrero de 2017. Utilizando el modelo de licencia abierta Apache, los proveedores comerciales podrán incorporar los resultados de los proyectos (en particular, las interfaces abiertas para pre-ingesta, ingesta, archivado, acceso y reutilización) en sus propios sistemas, mejorando su longevidad. Los organismos de archivos nacionales que ejecuten instancias piloto de E-ARK servirán como ejemplos para otros que quieren adoptar el nuevo sistema abierto de archivo electrónico.

 

Próxima generalización del Tablón Edictal Único (TEU) de las Administraciones Públicas


El próximo 1 de junio de 2015 entrarán en vigor las previsiones, contenidas en la Ley 15/2014, de 16 de septiembre, de racionalización del Sector Público y otras medidas de reforma administrativa, para configurar un Tablón Edictal Único, a través del Web del “Boletín Oficial del Estado”.

A partir de esa fecha, los anuncios de notificación que realice cualquier Administración Pública cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar o el medio de la notificación, o bien intentada esta, no se hubiese podido practicar, deberán publicarse necesariamente en el BOE. Previamente, y con carácter facultativo, las Administraciones podrán publicar el anuncio en los boletines territoriales o en los tablones de anuncios existentes.Esta práctica es absolutamente desaconsejable porque contribuye a perpetuar la mala praxis de notificaciones edictales desperdigadas para beneficio de la administración anunciante y perjuicio del ciudadano.

Esta nueva regulación resultará de aplicación cualquiera que sea la Administración competente para realizar la notificación, la materia sobre la que verse o el tipo de procedimiento administrativo de que se trate, incluidos aquellos que cuentan con normativa específica.

Con el objetivo de facilitar la puesta en marcha del nuevo régimen de publicación de los anuncios de notificación, la Agencia Estatal BOE ha anunciado que está trabajando en una doble línea:

  • Adaptación de la estructura del diario oficial “Boletín Oficial del Estado”: en este ámbito, la principal novedad es la creación de un Suplemento específico de notificaciones  edictales cuyo aspecto más relevante consistirá en que una vez transcurridos tres meses desde su publicación, los anuncios de notificación solo resultarán accesibles mediante un código seguro  de verificación (denominado CVE en el BOE en vez de CSV) de carácter único y no previsible.
  • Desarrollo de las previsiones de la Ley 15/2014, que establecen que la Agencia Estatal BOLETÍN OFICIAL DEL ESTADO pondrá a disposición de las diversas Administraciones Públicas un sistema automatizado de remisión y gestión telemática para la publicación de los anuncios de notificación edictal en el “Boletín Oficial del Estado”.

Electronic signature framework draft standards documents


Since october 2013 ETSI has made available a set of drafts for public reviews. The comment period has ended.

The documents are available at http://docbox.etsi.org/ESI/Open/Latest_Drafts/

The list includes the following:

TR 119 000     Rationalised structure for Electronic SignatureStandardisation

Signature Creation and validation

TR 119 100    Business Driven Guidance for implementing Signature Creation and Validation

TS 119 101    Policy and Security Requirements for Electronic Signature Creation and Validation

Cryptographic Suites

TR 119 300    Business Driven Guidance for Cryptographic Suites

TS 119 312    Cryptographic Suites for Secure Electronic Signatures

Trust Service Providers Supporting Electronic Signatures

TR 119 400    Business Driven Guidance for TSPs Supporting Electronic Signatures

EN 319 412    Profiles for TSPs issuing Certificates

319 412-1: Overview and common data structures

319 412-2: Certificate profile for certificates issued to natural persons

319 412-3: Certificate profile for certificates issued to legal persons

319 412-4: Certificate profile for web site certificates issued to organisations

319 412-5: Qualified certificate statements for qualified certificate profiles

EN 319 422    Profiles for TSPs providing Time-Stamping Services

EN 319 403    Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers

Trust Application Service Providers

TR 119 500    Guidance for Trust Application Service Provider

SR 019 530    Study on standardisation requirements for e-Delivery services applying e-Signatures

Trust Service Status Lists Providers

TR 119 600    Business Driven Guidance for Trust Service Status Lists Providers

Draft eSignature Standards Second batch

A second batch came a couple of months later:

Rationalized Framework

SR 019 020 Rationalised Framework of Standards for Advanced Electronic Signatures in Mobile Environment

Signature Creation and validation

EN 319 102: Procedures for Signature Creation and Validation

EN 319 122 CMS Advanced Electronic Signatures (CAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 132 XML Advanced Electronic Signatures (XAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 142 PDF Advanced Electronic Signature Profiles (PAdES)

Part 1: PAdES Overview – a framework document for PAdES

Part 2: PAdES Basic – Profile based on ISO 32000-1

Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles

Part 4: PAdES Long Term – PAdES-LTV Profile

Part 5: PAdES for XML Content – Profiles for XAdES signatures

Part 6: Visual Representations of Electronic Signatures

Part 7: PAdES Baseline Profile

EN 319 162 Associated Signature Containers (ASiC)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 172 Signature Policies

Trust Service Providers Supporting Electronic Signatures

EN 319 411 Policy and security requirements for Trust Service Providers issuing certificates

Part 1: Policy requirements for Certification Authorities issuing web site certificates

Part 2: Policy requirements for certification authorities issuing qualified certificates

Part 3: Policy requirements for Certification Authorities issuing public key certificates

Part 4: Policy requirements for certification authorities issuing Attribute Certificates

EN 319 421 Policy and Security Requirements for Trust Service Providers providing Time-Stamping Services

Servicio de custodia digital “Cartulario”


Cartulario es una plataforma multiusuario, desarrollada en modo SaaS y disponible en modalidad “Cloud Computing” o “Nube TIC“, que permite una rápida puesta en marcha de las soluciones de Confianza Digital.

De esta forma, garantiza la seguridad de los intercambios, la confianza del archivo y la gestión de la prueba jurídica.

Las tecnologías que ofrece Cartulario permiten el concepto de Prueba Digital y garantizan la seguridad en el Intercambio y el Archivo.

Entre ellas están:

  • Autenticación,
  • Cifrado,
  • Registro,
  • Trazabilidad,
  • Control de la integridad,
  • Sellado de tiempo (interno y por un tercero de confianza).
  • Metadatos de original electrónico (Completitud, Obliterabilidad, Endosabilidad)

Diferentes niveles de administración, que permiten ofrecer estas funcionalidades a las empresas, a las administraciones públicas o al público general, de forma flexible y escalable.

Cuenta con un webservice para el depósito de documentos y administra diferentes mecanismos de gestión de CSV (Código Seguro de Verificación).

Contacte con EADTrust en el 91 716 0555 para ampliar información.

Auditoría de firma electrónica: firma electrónica certificada


Los sistemas de gestión de firmas electrónicas se basan en un enjambre de normas técnicas y jurídicas que hacen difícil saber si se han adoptado adecuadamente.

Las múltiples opciones en la gestión de las firmas electrónicas permiten mucha flexibilidad a la hora de diseñar los sistemas, pero un error de implementación puede arruinar un buen diseño inicial.

Por eso, la posibilidad de auditar y certificar las soluciones de firma electrónica es una garantía para los implementadores de sistemas que gestionan firmas electrónicas y también para los usuarios de esos sistemas.

EADTrust es una entidad que audita sistemas de gestión, workflows, gestores documentales, CRMs y ERPs que emplean firmas electrónicas y da una opinión sobre si se implementan de forma adecuada. El análisis contempla gestión de archivo de los documentos electrónicos firmados y los procesos anejos que en los que se precisa la fuerza probatoria de la firma electrónica.

Los sistemas auditados por EADTrust contemplan los siguientes elementos:

  1. La firma se realiza con certificados reconocidos y dispositivos seguros de creación de firma, o se usa en contextos en los que alguno de estos requisitos no es exigible.
  2. La firma incluye información del momento de firma y de que el certificado utilizado para firmar no estaba revocado en ese momento.
  3. La firma se realiza con certificados emitidos por prestadores que cumplen la normativa aplicable sin más restricciones que las debidas al interés de los ciudadanos que usan las firmas.
  4. La firma permite comprobar los datos principales de los firmantes a partir de los certificados, sin necesidad de usar herramientas especiales
  5. Es posible acceder a una versión del documento que incluye la firma electrónica diseñado para ser apreciado por una persona sin conocimientos especiales, incluso en detalles derivados de la propia interpretación de la firma electrónica
  6. Los documentos son verificables en cualquier momento por un tercero a partir de la información de representacion visible de documento, y a partir de la codificación (código fuente) que incluye sus datos estructurados, de ser aplicable.

Las soluciones auditadas que cumplen todos estos requisitos reciben un informe favorable y pueden exhibir el logo de “firma certificada” creado por EADTrust.

La información sobre los sistemas auditados se incluye en las siguientes páginas web de referencia:

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.800 seguidores