Situación actualizada a noviembre de 2022 del proceso legislativo para reformar el Reglamento EIDAS

1. La Comisión adoptó la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) el 3 de junio de 2021. La iniciativa modifica el Reglamento eIDAS de 2014, que sentó las bases necesarias para acceder de forma segura a los servicios y realizar transacciones en línea y a través de las fronteras en la UE. 

• La propuesta, basada en el artículo 114 del TFUE, exige a los Estados miembros que emitan una cartera europea de identidad digital con arreglo a un sistema de identificación electrónica notificado, basado en normas técnicas comunes, tras la certificación obligatoria. Con el fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, proporcionar directrices a los Estados miembros y evitar la fragmentación, la propuesta iba acompañada de una Recomendación para el desarrollo de un conjunto de instrumentos de la Unión (Toolbox). 

• El Reglamento propuesto tiene por objeto garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables mediante una cartera digital personal en un teléfono móvil. 

II. TRABAJO EN LAS DEMÁS INSTITUCIONES

1. En el Parlamento Europeo, la propuesta se remitió a la Comisión de Industria, Investigación y Energía (ITRE), y se solicitó opinión a tres comisiones, a saber, la Comisión de Mercado Interior y Protección del Consumidor (IMCO), la Comisión de Asuntos Jurídicos (JURI) y la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). La ponente del expediente es Romana Jerković (S&D, Croacia). La Comisión ITRE aún no ha aprobado su informe.

• El 15 de julio de 2021, se invitó al Comité Económico y Social Europeo a emitir su dictamen sobre la propuesta, que se presentó posteriormente el 20 de octubre de 2021. El Comité Europeo de las Regiones emitió espontáneamente un dictamen sobre la propuesta el 12 de octubre de 2021.

• El Supervisor Europeo de Protección de Datos (SEPD) publicó observaciones formales sobre la propuesta el 28 de julio de 2021.

III. SITUACIÓN EN EL CONSEJO 

1. En el Consejo, la propuesta ha sido examinada en el Grupo «Telecomunicaciones y Sociedad de la Información» (WP TELECOM), que inició los debates bajo la Presidencia portuguesa en junio de 2021. El análisis de la propuesta continuó en WP TELECOM bajo la Presidencia eslovena, y la primera lectura concluyó con éxito el 15 de noviembre de 2021.

• La Presidencia francesa presentó su primera propuesta transaccional los días 15 de febrero y 5 de abril de 2022, y la segunda se debatió los días 23 de mayo y 9 de junio de 2022. En relación con un debate de orientación celebrado en WP TELECOM el 19 de julio de 2022, la Presidencia checa, basándose en el trabajo de la Presidencia francesa, destacó las principales cuestiones pendientes de alto nivel y pidió a las delegaciones que expresaran sus opciones preferidas, con vistas a volver a redactar las partes pertinentes de la segunda propuesta transaccional en consecuencia. La versión revisada dio lugar a una tercera propuesta de compromiso que fue presentada por la Presidencia checa en el WP TELECOM de los días 5 y 8 de septiembre de 2022. Las iteraciones adicionales y los ajustes conexos fomentaron con éxito un nivel más profundo de convergencia en la mayoría de las cuestiones pendientes. 

• Sin embargo, la cuarta propuesta transaccional, presentada a las delegaciones en el WP TELECOM de 28 de septiembre de 2022, reveló una divergencia persistente entre los Estados miembros en torno a una cuestión de alto nivel en particular, a saber, el nivel de aseguramiento («LoA») elegido para la cartera de identidad digital europea. Algunos de los Estados miembros que ya cuentan con un sistema nacional de identificación electrónica adoptaron inicialmente, y posteriormente invirtieron, en un Nivel de Aseguramiento (LoA – Level of Assurance) «sustancial», mientras que en la propuesta actual de identificación electrónica se requiere un LOA de nivel «alto». Consciente de que ya existe un elevado número de medios de identificación electrónica de LoA «sustanciales» emitidos en algunos Estados miembros, la Presidencia checa ha propuesto además un mecanismo para facilitar el registro de usuarios, contribuyendo así a la adopción de las carteras de identidad digital europeas. La disposición permite a los usuarios inscribirse en la cartera de identidad digital europeo utilizando los medios nacionales de identificación electrónica existentes en base a LoA «sustanciales» junto con procedimientos adicionales de obtención remota de la identidad digital que conjuntamente permiten cumplir los requisitos de LoA «alto». Las especificaciones técnicas y operativas requerida están sujetas al desarrollo de legislación de aplicación para ello y deberá ser posible la certificación de la conformidad con los requisitos, llevada a cabo por un Organismo de Evaluación.

• La quinta propuesta de compromiso se discutió durante la reunión de WP TELECOM del 25 de octubre de 2022. Durante la reunión de WP TELECOM del 8 de noviembre de 2022, la Presidencia checa presentó los limitados cambios introducidos y, además de los comentarios adicionales y las sugerencias de redacción recibidas de las Delegaciones, preparó la versión final del texto transaccional con vistas a presentarlo al Coreper. 

• El 18 de noviembre de 2022, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin ningún cambio, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.

IV. PRINCIPALES ELEMENTOS DE LA PROPUESTA TRANSACCIONAL      

1. La cartera europea de identidad digital

Uno de los principales objetivos políticos de la propuesta de la Comisión de una cartera de identidad digital europea («cartera») es el de proporcionar a los ciudadanos y otros residentes, tal como se definen en la legislación nacional, un medio europeo armonizado de identidad digital basado en el concepto de una cartera europea de identidad digital. Como medio de identificación electrónica («medio de identificación electrónica») emitido en virtud de sistemas nacionales con nivel de aseguramiento «alto», la cartera sería un medio de identificación electrónica por derecho propio basado en la emisión de datos de identificación personal y de la propia cartera por parte de los Estados miembros.

2. Nivel de aseguramiento de la cartera europea de identidad digital

Los niveles de aseguramiento («LoA») deben determinar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, proporcionando así garantías de que la persona que reivindica una identidad determinada es, de hecho, la persona a la que se asignó dicha identidad.

Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Coreper del 14 de octubre de 2022, la cartera deberá expedirse dentro de un sistema de identificación electrónica que cumpla con el nivel de aseguramiento «alto». Además, se ha añadido al artículo 6 bis una disposición específica sobre el registro de usuarios. Este cambio tiene por objeto abordar las preocupaciones de los Estados miembros en los que ya se ha emitido un número significativo de medios nacionales de identificación electrónica en base a niveles de aseguramiento «sustanciales». La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales para darse de alta de forma remota y hacer posible la prueba de identidad en base a un nivel de aseguramiento «alto» y, en última instancia, a obtener una cartera. Dado que el proyecto de Reglamento sobre identificación electrónica se basa en esquemas de certificación de ciberseguridad que deben aportar un nivel armonizado de confianza en la seguridad de las carteras de identidad digitales europeas, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad tras un proceso de evaluación. Por consiguiente, la Presidencia ha propuesto un nuevo considerando 10 ter que  aborde estas condiciones técnicas previas para lograr un nivel de aseguramiento «alto» y permita un proceso de seguimiento dentro de la aplicación de las carteras de identidad digitales europeas.

3. Notificación a las partes informadas

3.1 Se ha reformulado el artículo 6ter, relativo a la notificación a las partes informadas (las que reciben algún tipo de testimonio o información de la cartera, denominadas a veces «partes que confían»). Como norma general, el proceso de notificación mediante el cual la parte informada comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y debe garantizar que la parte informada proporciona al menos la información necesaria para autenticarse frente a la cartera. De forma predeterminada, solo se requiere mínima información, y la notificación debe permitir el uso de procedimientos automatizados o simples de autonotificación. 

3.2 Sin embargo, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición para ello que tiene por objeto cubrir los casos en que se requiere un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada a través de la cartera, los Estados miembros podrán eximir a dichas partes informadas de la obligación de notificar su intención de confiar en las carteras.

4. Certificación

4.1 El Reglamento debe aprovechar, basarse y exigir el uso de esquemas de certificación de la normativa de Ciberseguridad pertinentes y existentes, o partes de los mismos, para certificar el cumplimiento de las Carteras, o partes de los mismos, con los requisitos de ciberseguridad aplicables, por ejemplo, la de ser considerado un dispositivo cualificado de gestión de claves privadas. En consecuencia, se aplica plenamente el marco de la normativa europea de Ciberseguridad, incluido el mecanismo de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad previsto en la normativa europea de Ciberseguridad. Con el fin de armonizar en la medida de lo posible el Reglamento sobre identificación electrónica y la normativa europea de ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para evaluar certificar las carteras según lo dispuesto en el Reglamento de ciberseguridad. 

4.2 Además, se anima a la Comisión a encargar a ENISA que emprenda el desarrollo y la adopción de un esquema específico de la normativa europea de Ciberseguridad para la certificación de la ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema europeo de certificación de ciberseguridad basado en criterios «Common Criteria») publicado en virtud de la normativa europea de Ciberseguridad se utilizará como metodología de referencia para la certificación de la cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los que cubren otros aspectos funcionales y operativos de la Cartera, debe establecerse una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos están sujetos a certificación.

5. Plazo para la provisión de la Cartera

Sobre la base de las orientaciones de los Estados miembros, se ha propuesto que el período de ejecución de 24 meses que determina la obligación de que los estados miembros ofrezcan su Cartera, se empiece a contar a partir de la adopción de los actos de ejecución a los que se refieren el artículo 6 bis, apartado 11, y  el artículo 6 quater, apartado 4. 

6. Tarifas

En el artículo 6 bis, apartado 6 bis, y en el considerando correspondiente se ha aclarado  que la expedición, el uso para la autenticación y la revocación de carteras deben ser gratuitos para las personas físicas. Excepto cuando se utilizan Carteras para la autenticación, los servicios que dependen del uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de los certificados electrónicos de atributos para su gestión por una Cartera. 

7. Acceso a las funciones de hardware y software, incluido el «elemento seguro»

La Presidencia ha sugerido establecer una articulación explícita con el Reglamento (UE) 2022/1925, que garantiza el acceso a las funciones de hardware y software como parte de los servicios básicos de plataforma proporcionados por los guardianes de acceso a los servicios en Internet. El artículo 12 ter, recientemente añadido, aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios profesionales de los guardianes de acceso a los servicios en Internet en el sentido de la definición respectiva de la DMA (Digital Markets Act). Se ha añadido una redacción del considerando para esbozar las implicaciones de la interconexión con la DMA, a saber, que debe exigirse a los guardianes de acceso a los servicios en Internet que garanticen, de forma gratuita, la interoperabilidad efectiva con las mismas características del sistema operativo, hardware o software que estén disponibles o se utilicen a efectos de interoperabilidad en la prestación de sus propios servicios complementarios y de apoyo.

8. Posibilidades alternativas para emitir los testimonios electrónicos de atributos por parte de los organismos públicos

Se ha mantenido la posibilidad de emitir testimonios electrónicos cualificados de atributos por parte de prestadores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que los testimonios electrónicos de atributos no cualificados puedan tener los mismos efectos jurídicos que los testimonios electrónicos cualificados de atributos cuando sean expedidos a una Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo designado del sector público en nombre de un organismo del sector público responsable de una fuente auténtica,  siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis y 45 quinquies y en el anexo VII.

9. Verificación de registros

El artículo 11 bis original  ha pasado a llamarse «Record Matching» (Comprobación de anotaciones registrales) ya que refleja mejor el objetivo de la disposición. Sobre la base de la discusión, el concepto de identificador único y persistente se ha mantenido para las carteras. La definición respectiva aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales, siempre que sirva a su propósito. Se establece explícitamente que la verificación de registros puede facilitarse mediante los testimonios electrónicos cualificados de atributos. Además, se ha incorporado al artículo 11 bis una disposición de salvaguardia  según la cual los Estados miembros garantizarán la protección de los datos personales y evitarán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes informadas, garantizarán la verificación de anotaciones registrales.

     VI. CONCLUSIÓN 

1. A la luz de lo anterior, se invita al Consejo a: 

• que examine el texto que recoge la propuesta de modificación del reglamento que reformará el Reglamento EIDAS;
• que confirme una orientación general sobre la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) en la reunión del Consejo de TTE (Telecomunicaciones) que se va a celebrar el 6 de diciembre de 2022. 

---

Arquitectura y marco de referencia (ARF) de la Cartera IDUE (EUDI Wallet) versión 1.0 en español

El viernes pasado la Comisión Europea publicó la Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 y yo escribí sobre ello un artículo en el blog (Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2- documento en español) .

Hacía referencia a la publicación de la la versión 1 del documento: «European Digital Identity Wallet Architecture and Reference Framework» que se esperaba a finales de octubre de 2022.

La versión anterior (llamémosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022 y de ella hice una traducción al español hace unos meses.

A lo largo del fin de semana he realizado la traducción al español de la nueva versión y la pongo a disposición de los interesados en el desarrollo del Juego Herramientas de la Identidad Digital europea.

arf_v100_2023-traduccion-esDescarga

Como se me habrán escapado errores, ruego a quienes los detecten que me lo hagan saber para depurar la traducción en futuras versiones.

New EIDAS Regulation makes clear to web-browsers that they must recognize qualified website authentication certificates

New draft proposal to ammend Regulation (UE) No 910/2014 (EIDAS) replace Article 45 withe the following text:

Requirements for qualified certificates for website authentication

1. Qualified certificates for website authentication shall meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
2. Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. For those purposes web-browsers shall ensure that the identity data provided using any of the methods is displayed in a user friendly manner. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
3. Within 12 months of the entering into force of this Regulation, the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1.  Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).’;

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.

El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

• Trámites
  • Trámites de registro
    • Registrarse en Cl@veAyuda
    • Registrarse en Cl@ve con certificado o DNI electrónico
    • Renunciar a Cl@veAyuda
  • Otros trámites
    • Regenerar Código de Activación de Cl@ve Permanente Ayuda
    • Modificar el teléfono con certificado o DNI electrónicoAyuda
    • Modificar el teléfono aportando vídeo y documentación relacionadaAyuda
    • Modificar el correo electrónicoAyuda
    • Obtener un nivel de seguridad superior en Cl@ve con certificado o DNI electrónicoAyuda
    • Revocar el certificado de Cl@ve Firma
• Información y Ayuda
  • Información general
  • Normativa, guías y manuales
  • Ayuda técnica
• Ficha

En el epígrafe «Modificación del teléfono aportando vídeo y documentación relacionada» se indica:

Avisos

• Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
• Puede obtener más información sobre este trámite pinchando aquí
• En la documentación deberá presentar:
• Copia del DNI/NIE por las dos caras.
• En el caso de los NIE, copia de la primera hoja del pasaporte.
• Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
• Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
  • Nombre y apellidos.
  • DNI/NIE.
  • Trámite que quiere realizar.
  • Número de teléfono que quiere registrar.
  • Puede usar esta frase a modo de guion:
    «Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666» al tiempo que muestra el DNI/NIE por las dos caras.
    El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir «Video autorretratos grabados por los solicitantes» tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

Comunicación de Mozilla a las Autoridades de Certificación

La Fundación Mozilla ha enviado una comunicación a  las Autoridades de Certificación para informar a las CAs que tienen certificados raíz incluidos en el programa de Mozilla en relación con acciones planificadas y las fechas prevista.

La comunicación a las CAs se ha enviado por correo electrónico al Punto de contacto principal  y a un alias de correo electrónico para cada CA del programa de Mozilla, y se les ha pedido que respondan a las siguientes 7 acciones planificadas:

1. Leer y cumplir plenamente con la versión 2.7 de la Política de la Repositorio  Raíz de Confianza de Mozilla.
2. Asegurarse de que sus CP y CPS cumplen con la sección 3.3 de la política actualizada que requiere indicar de forma adecuada cuando no aplica un apartado y el mapeo de los documentos de la política a los certificados de las CA.
3. Confirmar su intención de cumplir con la sección 5.2 de la política de repositorio raíz de Confianza de Mozilla que requiere que los nuevos certificados de entidad final incluyan una extensión EKU que exprese su uso previsto.
4. Verificar que sus declaraciones de auditoría cumplen los requisitos de formato de Mozilla que facilitan el procesamiento automatizado.
5. Resolver los problemas con las auditorías de los certificados de CA intermedios que han sido identificados por el sistema automatizado de validación de informes de auditoría.
6. Confirmar el conocimiento de los requisitos de informes de incidentes de Mozilla y la intención de proporcionar buenos informes de incidentes.
7. Confirmar el cumplimiento de la versión actual de los requisitos básicos del foro de navegadores y CAs.

Los elementos de acción completos pueden leerse aquí. Las respuestas a la encuesta serán publicadas automática e inmediatamente por la CCADB.

Aunque la participación en el Programa de certificados de CA de Mozilla se somete al criterio de la Fundación Mozilla que puede excluir una CA discrecionalmente, parece que el mejor enfoque para salvaguardar la seguridad de los usuarios es trabajar con las CA como colaboradores, en vez de como adversarios, fomentando una comunicación abierta y franca, y que busque el encuentro al identificar formas de mejorar.

 

Material de estudio para la certificación profesional de Auditor EIdAS

Próximamente TCAB publicará más detalles sobre las jornadas de formación previstas en 2020 para la certificación profesional de Auditor EIdAS.

Ya se ha publicado el contenido previsto de la formación pero todavía no se han publicado las fechas para los exámenes de certificación y aspectos como los requisitos para ser Auditor EIdAS en el esquema de TCAB.

Quienes deseen prepararse para esta cualificación profesional pueden descargarse y utilizar como material de estudio las guías publicadas por ENISA.

Aunque el material está en inglés, a continuación se relacionan algunos de los documentos disponibles indicando también la traducción del título al español:

• Towards global acceptance of eIDAS audits

  Hacia la aceptación global de las auditorías eIDAS

  Publicado en Enero de 2019

• Assessment of Standards related to eIDAS

  Evaluación de estándares relacionados con eIDAS

  Publicado en Diciembre de 2018

• Recommendations for QTSPs based on Standards – Technical guidelines on trust services

  Recomendaciones para Prestadores de Servicios de Confianza Cualificados basadas en estándares: directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Guidelines on Supervision of Qualified Trust Services – Technical guidelines on trust services

  Pautas para la supervisión de servicios de confianza calificados – Pautas técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Guidelines on Initiation of Qualified Trust Services – Technical guidelines on trust services

  Directrices sobre el inicio de servicios de confianza cualificados – Directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Conformity assessment of Trust Service Providers – Technical guidelines on trust services

  Evaluación de conformidad de proveedores de servicios de confianza: directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

• Security framework for Trust Service Providers – Technical guidelines on trust services

  Marco de seguridad para proveedores de servicios de confianza: directrices técnicas sobre servicios de confianza

  Publicado en Diciembre de 2017

INDOTEL aprueba el nuevo marco regulatorio para servicios de certificación digital y confianza en República Dominicana, alineado con el #eIdAS

Mediante la Resolución No. 071-19 del Consejo Directivo INDOTEL aprobó la Norma Complementaria por la que se establece la equivalencia regulatoria del sistema dominicano de Infraestructura de Claves Públicas y de Confianza con los marcos regulatorios internacionales de servicios de confianza, así como la Norma Complementaria sobre Procedimientos de Autorización y Acreditación.

Esta actualización del marco normativo de la Ley 126-02 sobre Comercio Electrónico Documentos y Firmas Digitales se ha desarrollado para modernizar el mercado de servicios electrónicos de confianza de la República Dominicana y para adaptarlo al surgimiento de nuevas tecnologías, de forma tal que sean instrumentos realmente eficientes para la aplicación de los distintos agentes involucrados en la prestación de estos servicios electrónicos.

Por decisión del regulador, la citada normativa está específicamente alineada con las mejores prácticas internacionales en la materia, tomando como referencia el modelo europeo para la prestación de servicios electrónicos de confianza, definido en el Reglamento (UE) N.º910/2014 del Parlamento Europeo y del Consejo, de fecha 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (habitualmente denominado eIDAS) y en los estándares técnicos establecidos en los organismos de normalización como el Instituto Europeo de Normas de Telecomunicación (ETSI) y el Comité Europeo de Normalización (CEN).

Junto con el interés por aprovechar el desarrollo de estándares de la Unión Europea, el nuevo modelo regulatorio enfatiza también su compatibilidad  con otros estándares regionales impulsados por organizaciones como el Foro de Autoridades de Certificación y Programas de Exploración de Internet (CA/B Forum en inglés), que coordina la evolución de los certificados para sitio web de confianza pública, según los tipos acuñados de validación de dominio, validación de organización y validación extendida.

Se espera que la adopción de este nuevo modelo regulatorio,  favorezca  la interoperabilidad internacional, para lo que crea una implementación normativa de referencia que podría estudiarse por otros países, latinoamericanos o no, para facilitar la aplicación del artículo 14 del Reglamento EIDAS y por tanto el establecimiento de listas TSL no solo europeas sino globales.

En resumen, la norma publicada permite a la República Dominicana:

• Ampliar el espectro de servicios de certificación digital que hasta a fecha contemplaba la normativa vigente, para incluir los que se detallan en el Reglamento europeo eIDAS, por ejemplo, servicios de confianza cualificados de: creación de firmas y sellos electrónicos a partir de certificados cualificados y dispositivos de creación de firmas cualificados, o servicios electrónicos de entrega cualificados;
• La ubicación e instrumentación de listas de confianza TSL de prestadores nacionales que, una vez serán cursado el procedimiento previsto en el artículo 14 del Reglamento europeo eIDAS podrán ser incluidos en la lista de confianza europea, con un mecanismo de reciprocidad;
• El reconocimiento mutuo de prestadores cualificados de confianza europeos y prestadores de servicios de confianza dominicanos, consecuencia del procedimiento del artículo 14 citado.;
• Ampliar los servicios de confianza a otros como: servicio cualificados de validación y conservación de firmas cualificadas; servicios cualificados de sellos electrónicos,  y los servicios de certificados para la autenticación de sitios web, etc.; y
• Aumentar la competitividad de las entidades dominicanas de confianza digital favoreciendo su posicionamiento en mercados como los europeos y abriendo los servicios de confianza a un mercado mayor.

Algunos de los aspectos contemplados en la norma son:

• La posibilidad de desarrollar sistemas de identificación remota, por ejemplo los basados en videoconferencia o videograbación.
• La posibilidad de prestar servicios de firma y sello electrónicos a distancia, bajo control del firmante o del titular del sello electrónico
• La posibilidad de que la evaluación de conformidad la pueda realizar un organismo de evaluación de conformidad acreditado por el ODAC (Organismo Dominicano de Acreditación) admitiendo entidades acreditadas por otros organismos de acreditación como los europeos, sin perjuicio de la capacidad inspectora y de auditoría del propio INDOTEL.

En consecuencia, la aprobación de la Resolución No. 071-19 se suma a los desarrollos normativos previos del INDOTEL que siempre han buscado el desarrollo e impulso del comercio electrónico a nivel de la República Dominicana, y que además auspicia un régimen de reconocimiento mutuo entre estados y una mayor interoperabilidad entre prestadores de servicios de confianza a nivel internacional, colaborando en la  armonización de las normas jurídicas y técnicas de los servicios de confianza.

Desde Europa se ve este desarrollo normativo como un gran paso para la interoperabilidad global, y como ejemplo para otros países.

Referencia:

Artículo de D. Cesar Moliné publicado en LinkedIn.

 

Resuelto uno de los frenos a los certificados cualificados de PSD2

El CAB Forum ha aprobado una modificación del documento «Extended Validation Guidelines» para permitir incluir guiones en el campo organizationIdentifier (OID 2.5.4.97) de los certificados EV (Extended Validation), con lo que los certificados expedidos en el contexto de la norma ETSI TS 119 495 ya no serán incompatibles con las comprobaciones que realizan los navegadores. De esta forma se podrán expedir certificados QWAC compatibles con EV para entidades financieras y otras entidades que operan en aplicación de la Directiva (UE) 2015/2366 llamada Segunda Directiva de Pagos (PSD2).

La propuesta SC17 se ha aprobado con 23 votos favorables de entidades emisoras de certificados y 6 de las entidades desarrolladoras de navegadores (comprobadores de certificados).

Votos a favor:

• Emisores:  Actalis, Buypass, Camerfirma, Certigna (DHIMYOTIS), Certum (Asseco), Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, DigiCert, eMudhra, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy,  SHECA, SSC, SecureTrust (anteriormente Trustwave), TurkTrust.
• Comprobadores: Apple, Cisco, Google, Microsoft, Mozilla, 360

1 Abstención (Emisores): TrustCor

Con este resultado, se permite la inclusión de información adicional en los certificados EV para cumplir con ciertas regulaciones de la Unión Europea.

La motivación argumentada que dio lugar a la solicitud que se ha votado fue:

• El Reglamento de la Unión Europea Nº 910/2014 (eIDAS)  define ciertos requisitos reglamentarios para los certificados con un nivel de calidad acordado denominado «Cualificado». Este reglamento especifica en el Anexo IV los requisitos específicos para «Certificados cualificados para la autenticación de sitios web», incluida la declaración de que el certificado contendrá: «para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
• Se entiende que este requisito se relaciona con los atributos validados para la identificación del sujeto del certificado y, por lo tanto, se ajusta mejor al nombre distinguido del sujeto (subject’s distinguished name).
• En línea con el marco regulatorio, ETSI ha definido una estructura general para llevar «números de registro» en la norma TS 119 412-1 (en la actualidad EN 319 412-1). Ver cláusula 5.1. 4. En ella se utiliza el identificador de organización (organizationIdentifier) de la norma  X.520 dentro del nombre distinguido del  sujeto el propósito de servir como «identificación de una organización diferente del nombre de la organización». Esto se utiliza para los requisitos de ETSI para llevar los números de registro para certificados, cualificados o de otro tipo.
• Se considera que este uso de organizationIdentifier es compatible con el propósito principal de los certificados de EV como se indica en la sección 2.1.1 de las Directrices de EV como «otra información desambiguadora».
• Un reciente Reglamento delegado de la UE 2018/389 sobre comunicaciones seguras para servicios de pago establece en el artículo 34.2 que para los Certificados de sitio web cualificados (QWAC), el número de registro requerido en eIDAS «será el número de autorización del proveedor de servicios de pago (…) o equivalente [referencia hecha a regulaciones anteriores relacionadas con entidades financieras]».
• ETSI ha especificado los requisitos de la norma TS 119 495 para incluir los números de registro relacionados con PSD2 en la estructura general para los números de registro definidos en la citada norma TS 119 412-1 en su cláusula 5.1 .4
• ETSI se ha esforzado por garantizar y siempre ha intentado que los requisitos relacionados con los certificados de sitios web en el nivel Cualificado estén en línea con las pautas de Extended Validation de CA / B Forum.
• Esta propuesta solo incluye algunos de los Esquemas de registro utilizados en la norma ETSI TS 119 412-1, que tienen reglas de validación claras (NTR, VAT, PSD) que brindan una seguridad razonable de acuerdo con las «EV Guidelines«. Se propone que los IPR (intellectual property rights) para la semántica de este esquema se cedan al CA / B Forum, lo que le permitirá extender aún más el uso del Identificador de la organización (organizationIdentifier) para incluir otros Esquemas de registro (por ejemplo, LEI, Legal Entity Identifier) y las reglas de validación correspondientes, a discreción del CA / B Forum.  Además, cualquier cambio futuro realizado por ETSI a la norma ETSI TS 119 412-1 ya no tendrá impacto adicional en CA / B Forum.
• Al tomar conciencia de que la interpretación del CA / B Forum de los «Requisitos de EV» en la sección 9.2.8 “Otros Atributos” no estaba en línea con la forma de entenderlos por los expertos de ETSI, este organismo desearía armonizar su interpretación con la de CA / B Forum para reflejar en los certificados diferentes formas de establecer números de registro para PSD2 y otros esquemas de identificación alfanumérica de entidades.

Por otro lado, las preocupaciones específicas del CA / B Forum eran:

• Los requisitos con respecto a los atributos que se han de incluir en el DN (Distinguished Name) del sujeto deben recogerse de forma explícita en el apartado 9.2.
• Las organizaciones pueden desear identificar las unidades organizativas dentro de su organización. No está claro si esto está permitido actualmente en las Directrices de EV (ambigüedad similar a la de la sección 9.2.8).
• Se han argumentado objeciones al uso específico de ETSI del campo Distinguished Name.
• Los procedimientos para la validación del atributo deben estar claramente establecidos.
• Puede haber otros usos del campo organizationIdentifier  en varias PKI, sin embargo, no se considera un problema. dado que la semántica única que se está especificando para cada identificador, las aplicaciones deben ser capaces de comprender los diferentes usos del campo organizationIdentifier  por diferentes emisores y usuarios. Hay muchas «PKI» diferentes que pueden usar todos los atributos de X.500 de manera diferente y con una validación diferente o sin ninguna validación. Según parece, el WebPKI no ha usado anteriormente este atributo de subjectDN antes para los Certificados de confianza pública (Publicly-Trusted Certificates). Por lo tanto, no hay «conflicto» al usar este atributo en las Directrices EV para Certificados SSL / TLS, y tal vez más adelante para Certificados de Firma de Código EV.
• Este uso de organizationIdentifier debe ser extensible para permitir el uso de otros números de registro asignados por diferentes esquemas de registro. Algunos miembros de CAB Forum han expresado interés en incluir números de registro que no sean para identificar el tipo de sociedad dentro de Certificados EV. Esto está previsto en la propuesta actual.
• Algunos miembros del CA / B Forum tienen interés en incluir las identificaciones LEI dentro de los certificados del CA / B Forum, pero hasta ahora el esquema de registro LEI no se considera lo suficientemente extendido como para ser reconocido explícitam como un esquema de numeración de registro para ser aceptado por el CA / B Forum. Por lo tanto, esta propuesta solo introduce un conjunto limitado de esquemas de registro (a saber, NTR, IVA, PSD) que tienen reglas de validación razonablemente sólidas.
• Algunos miembros del CA / B Forum han indicado la posible necesidad de múltiples identificadores en el campo «nombre del sujeto». Sin embargo, esto no se puede lograr utilizando el campo definido en la norma X.520 organizationIdentifier que definió este atributo como «SINGLE VALUE».

Los cambios aprobados, que se reflejarán el documento «EV Guidelines» son:

• Agregar a la sección 4 las siguientes definiciones:
  “Entidad legal: una organización privada, entidad gubernamental, entidad comercial o entidad no comercial.
  Referencia de registro: un identificador único asignado a una entidad legal (persona jurídica).
  Esquema de registro: un esquema para asignar una referencia de registro que cumple con los requisitos identificados en el Apéndice H. «
• Cambiar el título de la Sección 9.2 para indicar»Campos de Nombre Distinguido del Sujeto» (Subject Distinguished Name Fields).
• Eliminar la Sección 9.2.2 y renumerar las secciones 9.2.3 a 9.2.8 como 9.2.2 a 9.2.7.
• Insertar una nueva sección 9.2.8:
  “9.2.8. Campo identificador de organización del sujeto
  ** Campo de certificado **: organizationIdentifier (OID: 2.5.4.97)
  ** Requerido / Opcional **: Opcional
  ** Contenido **: Si está presente, este campo DEBE contener una referencia de registro para una entidad legal asignada de acuerdo con el Esquema de registro identificado.
  El organizationIdentifier DEBE estar codificado como PrintableString o UTF8String (ver RFC 5280).
  El Esquema de Registro DEBE identificarse utilizando la siguiente estructura en el orden presentado:
  * Identificador de esquema de registro de 3 caracteres;
  * Se utilizará el código de país ISO 3166 de 2 caracteres para la nación en la que opera el Esquema de Registro, o si el esquema se opera globalmente, se utilizará el código ISO 3166 “XG”
  * Para el identificador del Esquema de Registro NTR, si es requerido bajo la Sección 9.2.4, un identificador ISO 3166-2 de dos caracteres para la subdivisión (estado o provincia) de la nación en la que opera el Esquema de Registro, precedido por el signo más “+” ( 0x2B (ASCII), U + 002B (UTF-8));
  * un guión (signo menos) «-» (0x2D (ASCII), U + 002D (UTF-8));
  * Referencia de registro asignada de acuerdo con el Esquema de Registro identificado.Nota: las Referencias de Registro PUEDEN contener guiones, pero los Esquemas de Registro, los códigos de país ISO 3166 y los identificadores ISO 3166-2 no PUEDEN contenerlos. Por lo tanto, si aparece más de un guión en la estructura, el guión más a la izquierda es un separador, y los guiones restantes forman parte de la Referencia de Registro.Como en la sección 9.2.4, la información de ubicación especificada DEBE coincidir con el alcance del registro al que se hace referencia. Ejemplos:
  * NTRGB-12345678 (esquema NTR, Gran Bretaña, cuyo identificador único a nivel de país es 12345678)
  * NTRUS + CA-12345678 (Esquema NTR, Estados Unidos – California, cuyo identificador único a nivel estatal es 12345678)
  * VATDE-123456789 (Esquema de IVA o CIF, Alemania, cuyo Identificador único a nivel de país es 12345678)
  * PSDBE-NBB-1234.567.890 (Esquema de PSD2, Bélgica, con identificador de la NCA (National Competent Authority) por sus siglas NBB, y con identificador único del sujeto asignado por la NCA formado por la secuencia 1234.567.890)Los esquemas de registro enumerados en el Apéndice H se reconocen actualmente como válidos bajo estas pautas («Guidelines»).

  La CA DEBE:
  1. confirmar que la organización representada por la Referencia de Registro es la misma que la organización nombrada en el campo de organización como se especifica en la Sección 9.2.1 dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4;
  2. Verificar además que la Referencia de registro coincida con otra información verificada de acuerdo con la sección 11;
  3. Tomar las medidas adecuadas para desambiguar entre diferentes organizaciones como se describe en el Apéndice H para cada Esquema de Registro;
  4. Aplicar las reglas de validación relevantes al Esquema de Registro como se especifica en el Apéndice H. «

• Insertar nueva sección 9.8 (renumerar las siguientes secciones según sea necesario):
  “9.8. Extensiones de Certificado
  Las extensiones enumeradas en la Sección 9.8 se recomiendan para la máxima interoperabilidad entre los certificados y los navegadores / aplicaciones, pero no son obligatorias en las CA, excepto cuando se indica como «Requerido». Las CA pueden usar otras extensiones que no están enumeradas en esta Sección 9.8, pero se les recomienda que propongan su inclusión en esta sección de vez en cuando para ayudar a aumentar la estandarización de la extensión en toda la industria.Si una CA incluye una extensión en un certificado que tiene un campo de Certificado que se menciona en esta Sección 9.8, la CA debe seguir el formato especificado en esa subsección. Sin embargo, ninguna extensión o formato de extensión será obligatorio en una CA a menos que se indique específicamente como «Requerido» en la subsección que describe la extensión.9.8.1. Extensión del nombre alternativo del sujeto (Subject Alternative Name Extension)
  ** Campo del certificado: ** _subjectAltName: dNSName_
  ** Requerido / Opcional: ** Requerido
  ** Contenido: ** Esta extensión DEBE contener uno o más nombres de dominio de host que sean propiedad o estén controlados por el sujeto y que estén asociados con el servidor del sujeto. Dicho servidor PUEDE ser propiedad y operado por el Sujeto u otra entidad (por ejemplo, un servicio de alojamiento). Los certificados comodín no están permitidos para los certificados EV.9.8.2. Campo de identificador de organización del foro de CA / navegador
  ** Nombre de la extensión **: _cabfOrganizationIdentifier_ (OID: 2.23.140.3.1)
  ** OID detallado **: {joint-iso-itu-t (2) international-Organizations (23) ca-browser-forum (140) extensiones de certificado (3) cabf-organization-identifier (1)}
  ** Requerido / Opcional **: Opcional (pero ver más abajo)
  ** Contenido **: Si el asunto: organizationIdentifier está presente, este campo DEBE estar presente.

  A partir del 31 de enero de 2020, si está presente el campo sujeto: organizaciónIdentificador, este campo DEBE estar presente.
  Si está presente, este campo DEBE contener una Referencia de Registro para una entidad legal asignada de acuerdo con el esquema de registro identificado.

  El esquema de registro DEBE estar codificado como se describe en la siguiente gramática ASN.1:

  id-CABFOrganizationIdentifier OBJECT IDENTIFIER ::= 
  { joint-iso-itu-t(2) international-organizations(23) 
  ca-browser-forum(140) certificate-extensions(3) 
  cabf-organization-identifier(1) }
  
  ext-CABFOrganizationIdentifier EXTENSION ::= 
  { SYNTAX CABFOrganizationIdentifier IDENTIFIED BY 
  id-CABFOrganizationIdentifier }
  
  CABFOrganizationIdentifier ::= SEQUENCE {
  
  registrationSchemeIdentifier   PrintableString (SIZE(3)),
  
  registrationCountry            PrintableString (SIZE(2)),
  
  registrationStateOrProvince    [0] IMPLICIT PrintableString OPTIONAL (SIZE(0..128)),
  
  registrationReference          UTF8String
  
  }
  

  donde están los subcampos y tienen los mismos significados y restricciones descritos en la Sección 9.2.8. La CA DEBE validar el contenido utilizando los requisitos de la Sección 9.2.8 «.

• Añadir nuevo Apéndice H – Esquemas de registro
  “Los siguientes esquemas de registro se reconocen actualmente como válidos según estas pautas:** NTR **: La información incluida en este campo será la misma que se guardó en el campo Número de registro del sujeto como se especifica en 9.2.5 y el código de país utilizado en el identificador del esquema de registro coincidirá con el de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.
  Cuando la Jurisdicción de constitución de la entidad o el Campo de Registro en 9.2.4 incluya más que el código del país, la información de localidad adicional se incluirá como se especifica en las secciones 9.2.8 y / o 9.8.1.** IVA **: Referencia asignada por las autoridades fiscales nacionales a una entidad jurídica. Esta información se validará utilizando la información provista por la autoridad fiscal nacional contra la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el campo del número de registro del sujeto (ver 9.2.5) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.

  ** PSD **: Número de autorización especificado en ETSI TS 119 495, cláusula 4.4, asignado a un proveedor de servicios de pago y que contiene la información especificada en ETSI TS 119 495 cláusula 5.2.1. Esta información SE DEBE obtener directamente del registro de la autoridad nacional competente para servicios de pago o de una fuente de información aprobada por una agencia gubernamental, organismo regulador o legislación para este propósito. Esta información DEBE validarse comparándola directa o indirectamente (por ejemplo, haciendo coincidir un número de registro único global) con la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el Campo del número de registro del sujeto (ver 9.2.5). ) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4. La dirección indicada de la organización combinada con el nombre de la organización NO SERÁ la única información utilizada para desambiguar la organización «.

Norma del CCN para firma en la nube

Los dispositivos cualificados de creación de firma son necesarios para producir firmas electrónicas y sellos electrónicos cualificados en el contexto del Reglamento 910/2014 (EIDAS).

Dada la lentitud del proceso de publicación en el seno del CEN (Comité Europeo de Normalización) de las normas de evaluación de conformidad de dispositivos cualificados de creación de firma que promovía el Reglamento EIDAS, en su artículo 30, en 2016 el Centro Criptológico Nacional (CCN) impulsó la publicación de una norma propia a lo que le autorizaba el propio artículo 30 en su apartado 3-b.

En efecto, el artículo 30 en su apartado 1 indica:

La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

Y en su apartado 3

La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo

(…)

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En abril de 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Sin embargo, esta norma solo hacía mención al marco de evaluación Common Criteria (ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 y a la norma de perfiles de protección de dispositivos seguros de creación de firma EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma, Partes 1 a 6), que pasaba de puntillas sobre los requisitos de firma en la nube (limitado a la parte  EN 419 211-5).

En base a la Directiva 1999/93/CE se había publicado en julio del año 2003 la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo que permitía contar con dispositivos seguros de creación de firma mientras evolucionaba el marco de normas técnicas de evaluacón de conformidad.

Dado el interés de algunas entidades españolas en certificar dispositivos cualificados de creación de firma (necesarios, por ejemplo, para finalizar el proyecto de DNI en la nube) el Centro Criptológico Nacional publicó en enero de 2017 la norma IT-009 -Remote Qualified Electronic Signature Creation Device Evaluation Methodology.

Esta norma se publicó al amparo del apartado 3-b del artículo 30 de EIDAS:

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

(…)

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

El documento recoge lo esencial de las normas técnicas en estado borrador en ese momento y posicionó a España en la punta de lanza de la evaluación de conformidad. Debe agradecerse al CCN esta labor proactiva que redunda en la competitividad de las empresas españolas del sector de la seguridad.

Por parte de TCAB (Trust Conformity Assessment Body) fué un privilegio el que pudiéramos colaborar en los trabajos preparatorios previos a la publicación de la norma.

Formación y certificación de auditores #EIDAS

TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

1. Usuarios avanzados de servicios de confianza digital (1 día)
2. Prestador de servicios de confianza digital (2 días)
3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

• Conceptos de identificación electrónica
• Breve historia de la criptografía
• Algoritmos de Hash
• Criptografía de clave simétrica y criptografía de clave asimétrica
• Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
• Estructura de los certificados. Normas X.509, X.520
• SSL TSL. OCSP Stapling
• Autenticación mediante certificados
• Firma electrónica. Tipos de firma electrónica
• Certificados cualificados
• Dispositivos cualificados de Creación de Firma
• Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
• Normativa de firma electrónica. Reglamento EIDAS
• Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
• Firmas avanzadas especiales. Firma biométrica
• Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

• Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
• Normativa general para Prestadores: EN 319 401:
  • Evaluación de riesgos,
  • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
  • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
• OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
• Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
• Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
• Herramientas de parseo y de comprobación de la calidad de certificados.
• Certificate transparency. Repositorios e integración
• Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
• Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
• Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
• Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
• Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
• Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
• Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
• Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
• Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
• Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
• Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
• Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
• Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

• Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
• Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
• Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
• Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
• Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
• Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
• Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
• Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
• Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
• Partes involucradas y pautas de interacción.
• Curso típico de un proyecto de auditoría.
• Recomendación para la acción y el enfoque durante las auditorías.
• Requisitos y esquema de informes de evaluación.
• Modelo de CAR para auditores
• Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
• Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
• Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789