Aplicabilidad del Reglamento Europeo UE 910/2014 (EIdAS)


A diferencia de la Directiva 93/1999 /CEE del Consejo, el Reglamento (UE)  nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (denominado reglamento eIDAS por las iniciales de Electronic Identificatiom Authentication and Signature) que entró en vigor el 17 de septiembre de 2014, tendrá un impacto directo y, en algunos casos,  supondrá la derogación de las leyes nacionales vigentes en los Estados miembros.

El Reglamento se aplicará gradualmente en los próximos meses con plazos de entrada en vigor escalonados que concluirán el 01 de julio 2016, con la derogación de la Directiva 93/1999 / CEE.

Desde su entrada en vigor el 17 de septiembre de 2014, ya son de aplicación las disposiciones contenidas en los artículos 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 y 48. El resto de las disposiciones, a excepción de los artículos 7, 8.1, 8.2, 9, 10, 11 y 12.1, que se aplicará a partir del 18 septiembre de 2015, deben ser implementadas a partir del 1 de julio de 2016. Sólo el  artículo 6 se aplicará a partir del 18 de septiembre 2018.

Desde 01 de julio de 2016 en adelante:

  • Los Dispositivos de Creación de Firma (denominados antes Dispositivos Seguros de Creación de Firma y ahora Dispositivos Cualificados de Creación de Firma) que tuvieran la consideración de tales según  el artículo 3.4  de la Directiva 93/1999 /CEE,  mantendrán su reconocimiento tras la nueva norma (Reglamento eIdAS).
  • Los certificados reconocidos expedidos a personas físicas de acuerdo con la Directiva 93/1999 /CEE se consideran hasta su vencimiento certificados cualificados de acuerdo con la nueva norma (Reglamento eIdAS).
  • Para ser considerados prestadores de servicios de confianza digital cualificados de acuerdo con el Reglamento eIDAS, los Prestadores de Servicios de Certificación que emitían  ​​certificados reconocidos de acuerdo con la Directiva 93/1999 / CEE deben presentar a partir del 01 de julio de 2017 un informe de evaluación sobre el cumplimiento de la normativa técnica y organizativa aplicable al órgano de supervisión (Minetur, en el caso de España).

La aplicación del Reglamento eIdAS, implica la puesta en marcha de 7 actos de ejecución que deben adoptarse en un  año:

  • 3 actos de ejecución relativos a la identificación y autenticación digital (eID)
    • Cooperación entre los Estados miembros (artículo 12.7)
    • Marco de Interoperabilidad (Artículo 12.8)
    • Niveles de garantía de identificación electrónica (artículo 8.3)
  • 4 actos de ejecución en materia de servicios de confianza digital
    • Formatos de firma electrónica (artículo 27.4)
    • Formatos de sellos electrónicos (artículo 37.4)
    • Listas de confianza (artículo 22.5)
    • Marca de confianza de la UE (artículo 23.3)

En los más de 16 años de vigencia de la Directiva 93/1999 /CEE del Consejo, cada Estado miembro la ha desarrollado en su legislación nacional adoptando, en algunos casos normas técnicas de organismos como ETS y CEN. En España, entre otras normas la Ley 59/2003, con disposiciones sobre firmas electrónicas en la Ley 11/2007 y en la Ley 18/2011.

El impacto revolucionario del Reglamento, sin embargo, cambia todos los paradigmas existentes anteriormente, que pueden considerarse los causantes de la falta de interoperabilidad transnacional en el mercado único europeo. El nuevo modelo, destinado a facilitarla, todavía tiene que demostrar su utilidad en un contexto internacional en el que los mayores avances se han producido a partir de la adopción de incoativas de la industria a través del CAB Forum, solo para el ámbito de los certificados para servidores web, en un modelo como en norteamericano de escasa regulación.

Proyecto e-Ark, un arca para preservar archivos digitales y conocimiento


El Proyecto e-Ark (European Archival Records and Knowledge Preservation) es un proyecto multinacional de 6 Millones de euros y de 3 años de duración cofinanciado por la Comisión Europea en el marco de Programa de Soporte de Políticas TIC (ICT Policy Support Programme) y del programa de Competitividad e Innovación (Competitiveness and Innovation Framework Programme – CIP) y se extenderá desde el 1 de febrero de 2014 hasta el 31 de enero de 2017. En el proyecto participa el DLM Forum.

Los Archivos proporcionan un componente indispensable del ecosistema digital por salvaguardar la información y permitir el acceso a la misma. Se requiere la armonización de diferentes enfoques de archivo actualmente fragmentados para lograr economías de escala necesarias que permitan la adopción general de soluciones de extremo a extremo. Existe una necesidad crítica de establecer una metodología general para abordar retos operativos y de negocio y diseñar soluciones técnicas que permitan la captura, preservación y reutilización de documentos electrónicos.

En cooperación con los proveedores de sistemas comerciales, E-ARK creará y sostendrá en su fase piloto una metodología paneuropea para el archivado de documentos electrónicos, sintetizando las mejores prácticas nacionales e internacionales existentes, para mantener los registros y bases de datos auténticos y utilizables a lo largo del tiempo.

La metodología se aplicará en un piloto abierto en varios contextos nacionales, utilizando herramientas existentes o prototipos, y servicios desarrollados por los socios. Esto proporcionará a las instituciones encargadas de preservar la memoria documental y a sus usuarios (tanto del sector público como privado) una base para evaluar, en un contexto operacional, la idoneidad de esas tecnologías de última generación.

El Foro DLM también ayudará a extender los resultados del proyecto más allá de la fecha de terminación del proyecto en febrero de 2017. Utilizando el modelo de licencia abierta Apache, los proveedores comerciales podrán incorporar los resultados de los proyectos (en particular, las interfaces abiertas para pre-ingesta, ingesta, archivado, acceso y reutilización) en sus propios sistemas, mejorando su longevidad. Los organismos de archivos nacionales que ejecuten instancias piloto de E-ARK servirán como ejemplos para otros que quieren adoptar el nuevo sistema abierto de archivo electrónico.

 

Próxima generalización del Tablón Edictal Único (TEU) de las Administraciones Públicas


El próximo 1 de junio de 2015 entrarán en vigor las previsiones, contenidas en la Ley 15/2014, de 16 de septiembre, de racionalización del Sector Público y otras medidas de reforma administrativa, para configurar un Tablón Edictal Único, a través del Web del “Boletín Oficial del Estado”.

A partir de esa fecha, los anuncios de notificación que realice cualquier Administración Pública cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar o el medio de la notificación, o bien intentada esta, no se hubiese podido practicar, deberán publicarse necesariamente en el BOE. Previamente, y con carácter facultativo, las Administraciones podrán publicar el anuncio en los boletines territoriales o en los tablones de anuncios existentes.Esta práctica es absolutamente desaconsejable porque contribuye a perpetuar la mala praxis de notificaciones edictales desperdigadas para beneficio de la administración anunciante y perjuicio del ciudadano.

Esta nueva regulación resultará de aplicación cualquiera que sea la Administración competente para realizar la notificación, la materia sobre la que verse o el tipo de procedimiento administrativo de que se trate, incluidos aquellos que cuentan con normativa específica.

Con el objetivo de facilitar la puesta en marcha del nuevo régimen de publicación de los anuncios de notificación, la Agencia Estatal BOE ha anunciado que está trabajando en una doble línea:

  • Adaptación de la estructura del diario oficial “Boletín Oficial del Estado”: en este ámbito, la principal novedad es la creación de un Suplemento específico de notificaciones  edictales cuyo aspecto más relevante consistirá en que una vez transcurridos tres meses desde su publicación, los anuncios de notificación solo resultarán accesibles mediante un código seguro  de verificación (denominado CVE en el BOE en vez de CSV) de carácter único y no previsible.
  • Desarrollo de las previsiones de la Ley 15/2014, que establecen que la Agencia Estatal BOLETÍN OFICIAL DEL ESTADO pondrá a disposición de las diversas Administraciones Públicas un sistema automatizado de remisión y gestión telemática para la publicación de los anuncios de notificación edictal en el “Boletín Oficial del Estado”.

Electronic signature framework draft standards documents


Since october 2013 ETSI has made available a set of drafts for public reviews. The comment period has ended.

The documents are available at http://docbox.etsi.org/ESI/Open/Latest_Drafts/

The list includes the following:

TR 119 000     Rationalised structure for Electronic SignatureStandardisation

Signature Creation and validation

TR 119 100    Business Driven Guidance for implementing Signature Creation and Validation

TS 119 101    Policy and Security Requirements for Electronic Signature Creation and Validation

Cryptographic Suites

TR 119 300    Business Driven Guidance for Cryptographic Suites

TS 119 312    Cryptographic Suites for Secure Electronic Signatures

Trust Service Providers Supporting Electronic Signatures

TR 119 400    Business Driven Guidance for TSPs Supporting Electronic Signatures

EN 319 412    Profiles for TSPs issuing Certificates

319 412-1: Overview and common data structures

319 412-2: Certificate profile for certificates issued to natural persons

319 412-3: Certificate profile for certificates issued to legal persons

319 412-4: Certificate profile for web site certificates issued to organisations

319 412-5: Qualified certificate statements for qualified certificate profiles

EN 319 422    Profiles for TSPs providing Time-Stamping Services

EN 319 403    Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers

Trust Application Service Providers

TR 119 500    Guidance for Trust Application Service Provider

SR 019 530    Study on standardisation requirements for e-Delivery services applying e-Signatures

Trust Service Status Lists Providers

TR 119 600    Business Driven Guidance for Trust Service Status Lists Providers

Draft eSignature Standards Second batch

A second batch came a couple of months later:

Rationalized Framework

SR 019 020 Rationalised Framework of Standards for Advanced Electronic Signatures in Mobile Environment

Signature Creation and validation

EN 319 102: Procedures for Signature Creation and Validation

EN 319 122 CMS Advanced Electronic Signatures (CAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 132 XML Advanced Electronic Signatures (XAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 142 PDF Advanced Electronic Signature Profiles (PAdES)

Part 1: PAdES Overview – a framework document for PAdES

Part 2: PAdES Basic – Profile based on ISO 32000-1

Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles

Part 4: PAdES Long Term – PAdES-LTV Profile

Part 5: PAdES for XML Content – Profiles for XAdES signatures

Part 6: Visual Representations of Electronic Signatures

Part 7: PAdES Baseline Profile

EN 319 162 Associated Signature Containers (ASiC)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 172 Signature Policies

Trust Service Providers Supporting Electronic Signatures

EN 319 411 Policy and security requirements for Trust Service Providers issuing certificates

Part 1: Policy requirements for Certification Authorities issuing web site certificates

Part 2: Policy requirements for certification authorities issuing qualified certificates

Part 3: Policy requirements for Certification Authorities issuing public key certificates

Part 4: Policy requirements for certification authorities issuing Attribute Certificates

EN 319 421 Policy and Security Requirements for Trust Service Providers providing Time-Stamping Services

Servicio de custodia digital “Cartulario”


Cartulario es una plataforma multiusuario, desarrollada en modo SaaS y disponible en modalidad “Cloud Computing” o “Nube TIC“, que permite una rápida puesta en marcha de las soluciones de Confianza Digital.

De esta forma, garantiza la seguridad de los intercambios, la confianza del archivo y la gestión de la prueba jurídica.

Las tecnologías que ofrece Cartulario permiten el concepto de Prueba Digital y garantizan la seguridad en el Intercambio y el Archivo.

Entre ellas están:

  • Autenticación,
  • Cifrado,
  • Registro,
  • Trazabilidad,
  • Control de la integridad,
  • Sellado de tiempo (interno y por un tercero de confianza).
  • Metadatos de original electrónico (Completitud, Obliterabilidad, Endosabilidad)

Diferentes niveles de administración, que permiten ofrecer estas funcionalidades a las empresas, a las administraciones públicas o al público general, de forma flexible y escalable.

Cuenta con un webservice para el depósito de documentos y administra diferentes mecanismos de gestión de CSV (Código Seguro de Verificación).

Contacte con EADTrust en el 91 716 0555 para ampliar información.

Auditoría de firma electrónica: firma electrónica certificada


Los sistemas de gestión de firmas electrónicas se basan en un enjambre de normas técnicas y jurídicas que hacen difícil saber si se han adoptado adecuadamente.

Las múltiples opciones en la gestión de las firmas electrónicas permiten mucha flexibilidad a la hora de diseñar los sistemas, pero un error de implementación puede arruinar un buen diseño inicial.

Por eso, la posibilidad de auditar y certificar las soluciones de firma electrónica es una garantía para los implementadores de sistemas que gestionan firmas electrónicas y también para los usuarios de esos sistemas.

EADTrust es una entidad que audita sistemas de gestión, workflows, gestores documentales, CRMs y ERPs que emplean firmas electrónicas y da una opinión sobre si se implementan de forma adecuada. El análisis contempla gestión de archivo de los documentos electrónicos firmados y los procesos anejos que en los que se precisa la fuerza probatoria de la firma electrónica.

Los sistemas auditados por EADTrust contemplan los siguientes elementos:

  1. La firma se realiza con certificados reconocidos y dispositivos seguros de creación de firma, o se usa en contextos en los que alguno de estos requisitos no es exigible.
  2. La firma incluye información del momento de firma y de que el certificado utilizado para firmar no estaba revocado en ese momento.
  3. La firma se realiza con certificados emitidos por prestadores que cumplen la normativa aplicable sin más restricciones que las debidas al interés de los ciudadanos que usan las firmas.
  4. La firma permite comprobar los datos principales de los firmantes a partir de los certificados, sin necesidad de usar herramientas especiales
  5. Es posible acceder a una versión del documento que incluye la firma electrónica diseñado para ser apreciado por una persona sin conocimientos especiales, incluso en detalles derivados de la propia interpretación de la firma electrónica
  6. Los documentos son verificables en cualquier momento por un tercero a partir de la información de representacion visible de documento, y a partir de la codificación (código fuente) que incluye sus datos estructurados, de ser aplicable.

Las soluciones auditadas que cumplen todos estos requisitos reciben un informe favorable y pueden exhibir el logo de “firma certificada” creado por EADTrust.

La información sobre los sistemas auditados se incluye en las siguientes páginas web de referencia:

Periodo de vigencia del CSV (Código Seguro de Verificación)


En relación con la implementación de la Ley 11/2007 por parte de las administraciones públicas surgen preguntas como ¿Durante cuanto tiempo se pueden ver en la sede electrónica los documentos electrónicos a través del Código Seguro de Verificación?

La normativa desarrollada no contempla todas las opciones y los organismos tienen que tomar decisiones. Para fijar criterio a la hora de trabajar en las implantaciones de la administración electrónica conviene tener en cuenta los conceptos de la diplomática digital.

En relación con la pregunta indicada, hay que decir que el CSV debe conservarse para siempre. El acceso al documento se limita por la política de gestión documental de la entidad, y debe poder hacerse siempre, bien en la sede electrónica original, bien en el organismo a cargo del archivo.

Hay que hacerse a la idea de que el CSV equivale al número de protocolo de los notarios.

En el ámbito notarial, se puede solicitar copia simple o auténtica de un documento a partir de su matriz en el propio notario que lo protocolizó (cuya identidad equivale a la de la sede electrónica del organsmo) o bien en su sucesor en el protocolo, o bien en el sistema de archivo a largo plazo de protocolos.

En el caso de las administraciones públicas, siempre debe quedar definido en la política de gestión documental el órgano ante el que se puede solicitar el documento una vez superada la fase administrativa en la que el procedimiento esta “vivo” o dentro de los plazos de prescripción.

Y para el “handout” de documentos electrónicos auténticos, cuando deban hacerse cargo de ello los archivos a largo plazo, debe firmarse entre el organismo cedente y el cesionario un documento que refleje las técnicas de preservación documental electrónica previas y futuras y los controles de integridad (hashes y timestampings) de los documentos (o colecciones) transferidos.

Atenea Interactiva organiza cursos de Diplomática Digital. Se puede contactar con el 902 365 612 o el 917160555 para solicitar un curso in-company o para inscribirse en el próximo seminario abierto sobre este tema.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.717 seguidores