Archivo de la categoría: Certificados

El “Certificado Verde Digital” para circular en tiempos de pandemia COVID-19 dentro de la UE


El “Certificado Verde Digital” (Digital Green Certificate) es un documento híbrido, que se puede usar con soporte cartáceo o digital (app móvil) para indicar si un viajero está vacunado contra el COVID-19, se ha realizado tests para comprobar que no está infectado o ha superado la enfermedad. Facilitará la seguridad y la libre circulación durante la pandemia originada por el virus SARS-CoV-2 dentro de la UE.

El Certificado Verde Digital puede utilizarse en todos los Estados miembros de la UE. También se podrá adoptar en Islandia, Liechtenstein, Noruega y Suiza.

El Certificado Verde Digital estará abierto a otras iniciativas que se desarrollen a nivel mundial.

Green Digital Certificate – paper and App

A continuación se presentan algunas preguntas y sus respuestas, relativas al “Certificado Verde Digital” por el COVID-19

¿Cuáles son las características del Digital Green Certificate?

  • El sistema Digital Green Certificate permite certificar en un solo instrumento tres tipos situaciones diferentes referidas a la posibilidad de contagiar la enfermedad COVID-19: un certificado de vacunación, un certificado de resultado de test de estar o haber estado infectado y un certificado de recuperación de la enfermedad.
  • Pueden emitirse y utilizarse en todos los Estados miembros de la UE para facilitar la libre circulación. Todos los ciudadanos de la UE y sus familiares, así como los nacionales no pertenecientes a la UE que permanezcan o residan en los Estados miembros y tengan derecho a viajar a otros Estados miembros, podrán recibirlos de forma gratuita.
  • Los certificados sólo deben incluir un conjunto mínimo de información necesaria para confirmar y verificar respecto al titular su estado de vacunación, del resultado de pruebas (como PCR) o de haber superado la enfermedad.
  • Vacunarse no será una condición previa para viajar. Todos los ciudadanos de la UE tienen un derecho fundamental a la libre circulación en la UE y esto se aplica independientemente de si están vacunados o no. El mismo principio se aplica a los derechos de los nacionales no pertenecientes a la UE que permanezcan o residan en los Estados miembros de la UE y que tengan derecho a viajar a otros Estados miembros.

¿Cómo ayudará a facilitar la libre circulación segura?

El Certificado Verde Digital acredita que el viajero cumple ciertos requisitos que pueden ser exigidos por un país para no aplicarle restricciones a la libre circulación por motivos de salud pública, como la realización de pruebas de infección en el país de destino o el cumplimiento de períodos de cuarentena en situación de confinamiento.

Si un Estado miembro acepta pruebas de vacunación del propio estado para no aplicar restricciones a la libre circulación, tendrá que aceptar las pruebas de vacunación emitida por otro Estado miembro en relación con las vacunas que hayan recibido autorización del mercado de la UE.

Los Estados miembros tienen la opción de facilitar la libre circulación a viajeros que hayan recibido otras vacunas.

Al viajar, todo titular del Certificado Verde Digital tendrá los mismos derechos de movilidad que los ciudadanos del Estado miembro que visita según se les exija estar vacunados, haberse hecho tests o acreditar que han superado la enfermedad.

Si un Estado miembro exigiera a los titulares de un certificado verde digital que se confinen en cuarentena o realicen nuevas pruebas de infección, deberá notificarlo a la Comisión y a todos los demás Estados miembros junto con la motivación para aplicar dichas medidas excepcionales.

¿Cómo se asegura de que las personas no vacunadas no sean discriminadas al ejercer su derecho a la libre circulación?

Para garantizar que se respete el derecho a la libre circulación en la UE y que no haya discriminación contra las personas que no están vacunadas, pero que se hayan sometido a otros controles, la Comisión propone que el certificado refleje diferentes situaciones.

Las personas que no estén vacunadas deberán poder seguir ejerciendo sus derechos de libre circulación, cuando sea necesario, aunque puedan aplicarse limitaciones como pruebas adicionales en el país de destino o confinamiento a la entrada del pais durante un cierto período.

¿La introducción del Certificado Verde Digital significa que los Estados miembros tendrán que reintroducir los controles en las fronteras interiores para comprobar los certificados?

No. El Certificado Verde Digital tiene por objeto facilitar la libre circulación dentro de la UE y la flexibilización de las restricciones actuales, no restringir los derechos a la libre circulación y el derecho a viajar.

La verificación de los certificados no puede justificar, por sí sola, la reintroducción temporal de controles fronterizos en las fronteras interiores, y tales controles no son necesarios para que los Estados miembros apliquen el Certificado Verde Digital.

¿Qué información incluirá el Certificado Verde Digital?

El Certificado Verde Digital contendrá la información clave necesaria, como el nombre, la fecha de nacimiento, el Estado miembro emisor y un identificador único del certificado. Además:

  • Para un certificado de vacunación: producto inoculado y fabricante, número de dosis, fechas de vacunación;
  • Para un certificado de test: tipo de prueba, fecha y hora de prueba, centro de pruebas y resultado;
  • Para un certificado de recuperación: fecha del resultado positivo de la prueba, emisor del certificado, fecha de emisión, fecha de validez.

¿Cómo será el formato del Certificado Verde Digital?

Los certificados se emitirán en formato digital, por lo que se pueden mostrar en un smartphone, o en papel, dependiendo de la preferencia de su titular. Los certificados contendrán un código QR interoperable y legible por máquina que contiene los datos clave necesarios, y que contendrá una firma digital. El código QR se utiliza para verificar de forma segura la autenticidad, integridad y validez del certificado. Para mejorar la aceptación transfronteriza, la información sobre el certificado debe escribirse en los idiomas del Estado miembro emisor y en idioma inglés.

¿Cómo funciona el Certificado Verde Digital en toda la UE?

El Certificado Verde Digital contiene un código QR con una firma digital (en este caso, sello digital, porque lo emiten personas jurídicas) para protegerlo contra la falsificación. Cuando se muestra el certificado, se escanea el código QR y se verifica el sello electrónico generado por el organismo emisor del certificado verde digital.

Cada organismo emisor (por ejemplo, un hospital, un laboratorio que realices tests, una autoridad sanitaria) realizará su propio certificado con un sello electrónico basado en criptografía de curva elíptica. Los organismos emisores deben contar con un sistema que genere el sello electrónico en base a una clave privada asociada a un certificado de clave asimétrica según el algoritmo ECC p-256.

Los certificados expedidos por los diferentes organismos de un país se almacenan en una base de datos segura de dicho país.

La Comisión Europea construye una pasarela que permite verificar los sellos electrónicos de los certificados verdes de cualquier país de la UE. Los datos personales del viajero no circulan por la pasarela ya que no son necesarios para comprobar el sello electrónico.

La Comisión Europea prepara en Github una implementación modelo en código abierto para apoyar a los Estados miembros de forma que los distintos organismos puedan puedan desarrollar sus propias implementaciones, tanto para generar los certificados como para escanear los códigos QR y comprobar su autenticidad.

¿Qué vacunas serán aceptadas?

Los Estados miembros deben expedir certificados de vacunación independientemente del tipo de vacuna COVID-19.

Cuando los Estados miembros acepten pruebas de vacunación para renunciar a determinadas restricciones de salud pública, como las pruebas o la cuarentena, estarían obligados a aceptar, en las mismas condiciones, certificados de vacunación expedidos en el marco del sistema de Certificados Verde Digitales. Sin embargo, esta obligación se limitaría a las vacunas que han recibido la autorización de comercialización a escala de la UE. Los Estados miembros tienen la opción de aceptar certificados de vacunación expedidos en relación con otras vacunas.

¿Qué pruebas covid-19 serán aceptadas?

Para garantizar la fiabilidad del resultado de la prueba, sólo se admiten los resultados de las denominadas pruebas NAAT (incluidas las pruebas RT-PCR) y las pruebas rápidas de antígeno, que figuran en la lista establecida sobre la base de la Recomendación 2021/C 24/01 del Consejo.

¿Qué pasa con las puebas que se compran en farmacias y se puede hacer uno mismo?

Dado que las autopruebas no se realizan en condiciones controladas se consideran menos fiables y no es posible responsabilizar de esas pruebas a un organismo emisor de certificados verdes digitales.

¿Habrá una validez mínima de los certificados?

El período de validez de los certificados depende de la evidencia científica respecto a la posibilidad de que un viajero transmita la enfermedad, según la prueba realizada, la recuperación de la enfermedad o la vacunación, lo que establecerá cada estado miembro y validará la pasarela común.

A medida que surjan nuevas pruebas científicas, podrían ajustarse los períodos para los que los certificados se consideren válidos.

El Reglamento propuesto garantiza que los certificados expedidos por otros Estados miembros se acepten siguiendo las mismas normas que los aplicados a los certificados expedidos a nivel nacional. El Reglamento también introduce algunos principios básicos, por ejemplo, que establecen el período máximo de validez del certificado de recuperación en 180 días.

Estos principios podrían ajustarse más adelante por la Comisión mediante actos delegados para alinearse con nuevas pruebas científicas una vez que estén disponibles.

¿Qué pasará con aquellas personas que ya han sido vacunadas?

Las personas que hayan sido vacunadas antes de que se ponga en marcha el Certificado Verde Digital también deben tener la posibilidad de obtener el certificado de vacunación necesario. Si recibieron un certificado de vacunación que no cumplía las normas de interoperabilidad exigidas en virtud del Reglamento, podrán solicitar uno nuevo.

por otro lado, los Estados miembros podrán seguir emitiendo pruebas de vacunación en otros formatos para otros fines, en particular con fines médicos.

¿Durante cuánto tiempo estará vigente el Certificado Verde Digital?

Los certificados están vinculados a la pandemia COVID-19. El sistema de Certificados Verdes Digitales se suspenderá una vez que la Organización Mundial de la Salud (OMS) declare el fin de la emergencia internacional de salud pública causada por covid-19. Del mismo modo, si la OMS declara una nueva emergencia internacional de salud pública causada por covid-19, una variante de la misma o una enfermedad infecciosa similar, el sistema podría reactivarse.

¿Cuánto cuestan los Certificados Verdes Digitales?

Los certificados serán gratuitos.

Los Estados miembros asumen el coste de la creación de la infraestructura a nivel nacional. La Comisión Europea proporcionará financiación para apoyar a los Estados miembros en la creación de la infraestructura requerida, si es necesario.

La Comisión asumirá la creación de la pasarela de comprobación de certificados para toda la UE y apoyará a los Estados miembros para que desarrollen programas informáticos para emitir y comprobar los códigos QR.

¿Cómo se garantiza la interoperabilidad de los Certificados Verdes Digitales?

La interoperabilidad se logra partiendo de cierto nivel de de normalización de especificaciones consensuadas, pariendo de políticas y reglas comunes.

Cualquier certificado expedido en un Estado miembro puede verificarse en otro Estado miembro. Cada estado dispone de cierta flexibilidad para diseñar sus certificados siempre que cumplan las normas comunes.

Los Estados miembros, con el apoyo de la Comisión, acordaron un marco de confianza para garantizar la aplicación oportuna de los Certificados Verdes Digitales, su interoperabilidad y el pleno cumplimiento de la protección de datos personales. Esto se basa en directrices sobre elementos básicos de interoperabilidad que se adoptaron el 27 de enero de 2021 y se actualizaron el 12 de marzo de 2021.

La pasarela desplegada por la Comisión para la verificación de los certificados verdes es uno de los componentes de la interoperabilidad.

¿Será compatible el Certificado Verde Digital con otros sistemas desarrollados a nivel internacional?

La Comisión persigue que los certificados sean compatibles con sistemas de terceros países fuera de la UE. La propuesta está abierta a iniciativas mundiales y tiene en cuenta los esfuerzos en curso de organismos especializados de las Naciones Unidas como la Organización Mundial de la Salud (OMS) y la Organización de Aviación Civil Internacional (ICAO), para establecer especificaciones y orientación sobre el uso de tecnologías digitales para documentar el estado de vacunación y otra información que permita considerar bajo el potencial de contagio de un viajero.

Se anima a terceros países a reconocer el Certificado Verde Digital europeo para facilitar la movilidad de los viajeros y reducir las restricciones.

El texto legal del Reglamento se incorporaría al Acuerdo EEE, Espacio Economico Europeo, permitiendo a los países del que forman parte del EEE (Islandia, Liechtenstein y Noruega) aplicar el sistema de certificados verdes digitales de la UE. Por lo que respecta a Suiza, la Comisión podrá decidir aceptar certificados suizos expedidos de conformidad con el proyecto de Reglamento del Certificado Verde Digital, basado en el principio de reciprocidad.

Ese mismo principio de reciprocidad favorece el reconocimiento de certificados expedidos por terceros países a los ciudadanos de la UE y a sus familiares, cuando dichos certificados cumplan los estándares de calidad y sean interoperables con el marco de confianza de la UE.

¿Cómo se procesarán los datos personales?

Dado que los datos personales contenidos en los certificados incluyen datos médicos sensibles, se garantiza un nivel muy alto de protección de datos.

Los certificados solo incluirán un conjunto limitado de información personal necesaria. Esta información no puede ser extraída de los pasaportes verdes por los países a los que llega el viajero. A efectos de verificación, solo se comprueba la validez y autenticidad del certificado, verificando quién lo emitió y selló digitalmente. Todos los datos sanitarios permanecen en el Estado miembro que emitió el Certificado Verde Digital.

El sistema de certificados verde digitales no requiere de la creación y el mantenimiento de una base de datos de certificados sanitarios a nivel de la UE.

¿Se emite el Certificado Verde Digital a ciudadanos de países no pertenecientes a la UE?

Sí. El Certificado Verde Digital se expide a los familiares de los ciudadanos de la UE, independientemente de su nacionalidad y a residentes en Estados miembros o Estados asociados a Schengen. También a los visitantes que tengan derecho a viajar a otros Estados miembros. Son necesarias bases jurídicas separadas para dar la misma cobertura a todas las personas presentes en la UE independientemente de su nacionalidad, o la razón por la que están en la UE.

El Certificado Verde Digital también podría expedirse a nacionales o residentes de Andorra, Mónaco, San Marino y el Vaticano/Santa Sede, en particular cuando sean vacunados por un Estado miembro.

¿Cómo afecta el certificado verde al viaje a la UE desde terceros países?

Por el momento, los viajes no esenciales a la UE están restringidos a terceros países, a excepción de un número limitado de países. Un nacional no perteneciente a la UE que pueda viajar a la UE puede obtener un certificado verde digital. El nacional no perteneciente a la UE podría solicitar un Certificado Verde Digital a un Estado miembro al que viaja, proporcionando toda la información necesaria, incluida una prueba fiable de vacunación. A continuación, el Estado miembro tendría que evaluar si se ha proporcionado pruebas fiables y decidir si expide o no un Certificado Verde Digital.

A medio plazo, cuando la Comisión esté convencida de que los certificados expedidos un tercer país cumplen normas y usan sistemas internacionales interoperables con el de la UE, la Comisión puede realizar un acto de ejecución basado en el Reglamento que se aprueb. A continuación, dichos certificados de terceros países se aceptarían en las mismas condiciones que los Certificados Verde Digital.

En todos los casos, las normas de aceptación de la prueba de vacunación serían las mismas que para los nacionales de la UE: las vacunas que han recibido autorización de comercialización a escala de la UE deben ser aceptadas, pero los Estados miembros pueden decidir aceptar o nos otras posibles vacunas.

¿Cómo son los certificados de clave pública que utilizan las entidades sanitarias?

Aunque inicialmente las especificaciones del modelo de confianza se orientaron para ser similares al utilizado en el pasaporte digital descrito en el Documento 9303 de ICAO (OACI), finalmente se ha optado por flexibilizar el modelo dando cabida a los certificados EIDAS (Reglamento (UE) 910/2014).

En base a esta posibilidad, se admiten certificados cualificados de sello de órgano o certificados cualificados de persona jurídica para sello que se basen en Criptografía de Curva Elíptica (ECC p-256).

Se han definido varios OID opcionales para incluir en la sección “Extended Key Usage” de los certificados emitidos a organismos que no vayan a emitir alguna variante de certificado verde.

Inicialmente se han definido estos:

  • OID 1.3.6.1.4.1.0.1847.2021.1.1 — valid for test
  • OID 1.3.6.1.4.1.0.1847.2021.1.2 — valid for vaccinations
  • OID 1.3.6.1.4.1.0.1847.2021.1.3 — valid for recovery

Sin embargo estos OID tienen un error, por lo que desde el punto de vista de la verificación puede ser que los certificados incluyan los OID indicados (incorrectos) o los correctos:

  • OID 1.3.6.1.4.1.1847.2021.1.1 — valido para certificados que indiquen resultados de test
  • OID 1.3.6.1.4.1.1847.2021.1.2 — valido para certificados que indiquen vacunación
  • OID 1.3.6.1.4.1.1847.2021.1.3 — valido para certificados que indiquen que se ha superado la enfermedad

Si no se incluye ningún OID (que es lo recomendado en esta fase) el certificado ECC se podrá usar para realizar el sello electrónico del certificado verde con cualquiera de las variantes.

Contacte con el +34 91 716 0555 si necesita certificados de persona jurídica ECC p-256 para su entidad, para realizar los sellos electrónicos del Certificado Verde Digital (Pasaporte COVID-19).

Referencias

Este documento se basa en la información publicada por la Unión Europea:

Documentos en español:

Hay, además otros documentos relacionados:

Thales anuncia la certificación EIDAS para firma remota de sus HSM


El Módulo de Seguridad de Hardware (Hardware Security Module, HSM) de Thales denominado Luna v.7.7.0 ya está certificado de acuerdo con los Criterios Comunes (Common Criteria, CC) en el nivel EAL4+ contra el Perfil de Protección (PP) EN 419 221-5 de los Servicios de Identificación, Autenticación y Confianza electrónicos (eIDAS). Además de la certificación CC, Luna HSM 7 también ha recibido la certificación eIDAS como dispositivo cualificado de creación de firmas y sellos (Qualified Signature/Seal Creation Device QSCD).

Los HSM Luna (de las generaciones 6 y 7, anteriormente englobados bajo la marca Safenet) ya habían conseguido certificaciones como QSCD independiente, o como parte de un QSCD de firma remota formado por módulos creados por entidades terceras que los incluían en su configuración. Han certificado su validez entidades de evaluación de conformidad de Austria, Italia y España, según lo previsto en el artículo 30.3.b (Procesos alternativos) del Reglamento EIDAS.

Los prestadores de servicios de confianza cualificados (Qualified Trust Service Providers, QTSP), así como las empresas públicas o privadas que emiten certificados digitales y proporcionan firmas y sellos digitales sobre servidores propios o remotos (avanzados y cualificados), sello de tiempo, entrega electrónica y servicios de autenticación de sitios web, pueden utilizar ahora los HSM Luna 7 como parte de su solución alineada con eIDAS.

Esta certificación CC EAL4+ de la familia de HSMs Luna es la quinta en cuatro generaciones de productos (Luna CA3, Luna 4, Luna 5/6 y ahora Luna 7).

Esta última versión de HSM Luna incluye funciones útiles para operaciones eIDAS de gran volumen, que requieran alto rendimiento, y funcionalidades como la autorización por clave (per-key authorization, PKA) y el almacenamiento escalable de claves (scalable key storage, SKS), funciones utilizadas por los sistemas que gestionan firmas remotas en nombre del titular del certificado.

Los Prestadores de Servicios de Confianza (Trust Service Providers – TSP) que adopten estos HSM de Thales pueden certificar sus soluciones de firma remota conPerfil de Protección Common Criteria EN 419 241-2 (perfil de protección para QSCD diseñado para la modalidad de firma electrónica en servidor), o en el caso de una certificación eIDAS existente (en base al artículo 30.3.b, procesos alternativos), ampliar su lista de certificaciones con esta nueva certificación Common Criteria.

La certificación en base al Perfil de Protección Common Criteria EN 419 221-5 “Cryptographic Modules for Trust Services” (Módulos criptográficos para servicios de confianza) puede utilizarse como certificación independiente o como base para una certificación CC de mayor alcance según el Perfil de Protección EN 419 241-2 para servicios de firma y sellado electrónico remotos. La norma EN 419 241-2 exige el empleo de un módulo criptográfico, como un HSM, destinado a ser utilizado por los TSP en apoyo de las operaciones de firma electrónica y sellado electrónico, que esté certificado conforme a la norma EN 419 221-5.

Además, los artículos 30 y 31 del reglamento eIDAS dictan que “La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos [de la UE] […] será certificada por los organismos públicos o privados adecuados designados por los Estados miembros”. Luna HSM 7 está publicado en la lista del artículo 31 de eIDAS, promoviendo su uso como QSCD certificado.

El uso de un equipamiento de HSM basado en la nube o en las instalaciones de la entidad que lo adopta es una forma excelente de cumplir con el eIDAS y tiene muchas ventajas, pero se exige que el HSM esté certificado como dispositivo QSCD.

En los entornos de trabajo remotos existe la necesidad de acceder a las claves de firma digital en cualquier momento y lugar. Los HSM se utilizan para gestionar y proteger las claves de firma privadas de sus titulares, sin que el firmante deba preocuparse por su custodia (como ocurre cuando se utilizan tarjetas inteligentes). Sus claves se mantienen en el perímetro del Prestador de Servicios de Confianza (protegidas por el HSM) y con sujeción a la evaluación periódica del prestador.

HSMs Luna

Además de los requisitos a los HSM impuestos por el Reglamento eIDAS mencionados anteriormente, que requieren su evaluación de conformidad, los HSM de red y de tarjeta PCIe de Luna proporcionan altos rendimientos, protección de claves de alto nivel de aseguramiento y la administración y supervisión centralizada de las operaciones de criptografía necesarias para gestionar firmas electrónicas, sellos electrónicos y otros servicios de confianza y resultan necesarios para proporcionar servicios eIDAS.

Noticia comunicada por Thales (artículo de Hermann Bauer) .

Los organismos públicos españoles no gestionan correctamente los certificados cualificados


No estoy seguro de que la afirmación se pueda generalizar a “TODOS” los organismos públicos, pero sí a la inmensa mayoría.

Desde hace unos cuantos años, muchos organismos públicos publican una lista de los Prestadores de Servicios de Certificación cuyos certificados admiten para realizar gestiones en su sede electrónica.

La mera existencia de una lista ya es sospechosa, porque es muy difícil mantenerla actualizada, salvo que se haga referencia a la herramienta publicada por la Comisión Europea que permite visualizar los Prestadores de Servicios de Certificación Cualificados de todos los estados miembros: https://webgate.ec.europa.eu/tl-browser/#/

La existencia de la lista da a entender que solo se admiten algunos prestadores españoles, pero si fuera así, sería ilegal.

Algunos organismos hacen referencia a que admiten los certificados que gestiona la plataforma @firma, pero esta plataforma tampoco está siendo diligente en la gestión de certificados. Y aunque con cierta frecuencia publica nuevas versiones de un documento que incluye los prestadores cuyos certificados han comprobado ( Anexo – PSC ) la cadencia de publicación lleva varios meses de retraso respecto a la publicación por la SEDIA de la lista de confianza TSL española en PDF y XML (y la lista anexa de resumen de cambios Cambios TSL).

Y el mecanismo adoptado para la comprobación de certificados por @firma debería estar más automatizado, en especial para acoger los certificados cuyos perfiles siguen las pautas definidas en los estándares de ETSI (aplicables a personas y entidades de cualquier país), aunque caber entender que los certificados “especiales” de empleado público, de sello electrónico para las administraciones, y de sede electrónica puedan contener información adicional, ya que se han definido perfiles de certificados especiales para ello en el documento “Perfiles de Certificados 2.0“. No se entiende este retraso, especialmente si se tiene en cuenta que la SGAD (de la que depende @firma ) está en el mismo Ministerio que la SEDIA ( Organismo al que los Prestadores solicitan la cualificación y su inclusión en la TSL).

Voy a indicar a continuación referencias a varias leyes (y un reglamento europeo) para que se entienda que todos los organismo públicos deben admitir los certificados de todos los prestadores cualificados europeos indpendientemente del pais que los haya incluido en su lista TSL.

La reciente Ley 6/2020 indica:

Artículo 16. Mantenimiento de la lista de confianza.

1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.

3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.

Por otro lado, la Ley 39/2015 indica:

Artículo 9. Sistemas de identificación de los interesados en el procedimiento.

1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente.

2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:

a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

(…)

Artículo 10. Sistemas de firma admitidos por las Administraciones Públicas.

1. Los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento.

2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:

a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

Por otro lado, el Reglamento Europeo UE 910 2014 indica en su artículo 25:

(…)

3.   Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

De forma semejente, en su artículo 27  Firmas electrónicas en servicios públicos


1.   Si un Estado miembro requiere una firma electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firma electrónica y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere una firma electrónica avanzada basada en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán para la utilización transfronteriza de un servicio en línea ofrecido por un organismo del sector público una firma electrónica cuyo nivel de garantía de la seguridad sea superior al de una firma electrónica cualificada.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos de las firmas electrónicas avanzadas mencionadas en los apartados 1 y 2 del presente artículo y en el artículo 26 cuando una firma electrónica avanzada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Existen artículos semejantes para los sellos electrónico. Por ejemplo el artículo 35 indica:


(…)3.   Un sello electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello electrónico cualificado en todos los demás Estados miembros.

Y el artículo Artículo 37 Sellos electrónicos en servicios públicos

1.   Si un Estado miembro requiere un sello electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado reconocido de sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere un sello electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, un sello electrónico cuyo nivel de seguridad sea superior al de un sello electrónico cualificado.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el artículo 36 cuando un sello electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En resumidas cuentas, los organismos públicos deben aceptar todos los certificados cualificados expedidos por Prestadores de Servicios de Certificación incluidos en las Lista de Servicios de Confianza Cualificados de todos los paises de la Unión Europea.

La lista de confianza europea está disponble en el siguiente enlace:
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml
Este fichero contiene los enlaces  a las listas TSL de todos los estados miembros.

Los que sigan este blog han comprobado que no dejo de ser insistente porque llevo hablando de este tema desde hace más de 10 años (cada vez referenciando normas distintas, las vigentes en ese momento) y prueba de ello son los siguientes artículo:

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados


Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”. En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término “Reglamentariamente” puede interpretarse en el sentido de “dictar cuantas disposiciones sean precisas para su desarrollo”, hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir “Reglamentariamente” por “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital” para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”, que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

¿Qué sucede cuando un Prestador de Servicios Electrónicos de Confianza cesa su actividad?


En la actualidad ya existen varios tipos de servicios electrónicos de confianza, no solo la emisión de certificados, pero está claro que al menos uno de los problemas a gestionar cuando se deja de ofrecer un servicio de confianza es la revocación de certificados expedidos, y la disponibilidad de esta información para los afectados (titulares de los certificados y terceros que confían en ellos).

La Ley 59/2003de 19 de diciembre, de firma electrónica ,de próxima derogación establece en su artículo 21.3 que, en caso de cese de la actividad de un prestador de servicios de certificación, éste remitirá al Organismo Supervisor (a fecha de este artículo el Ministerio de Asuntos Económicos y Transformación Digital) con carácter previo al cese definitivo de su actividad la información relativa a los certificados electrónicos cuya vigencia haya sido extinguida para que éste se haga cargo de su custodia a efectos de lo previsto en el artículo 20.1.f.

Dicho artículo 20.1.f establece que la información relativa a un certificado “reconocido” (que en la actualidad tras la publicación del Reglamento EIDAS (Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE) se denomina “cualificado“) será custodiada, al menos durante 15 años contados desde el momento de su expedición, de manera que se puedan verificar las firmas realizadas con dicho certificado (serían válidas las firmas codificadas antes de su revocación).

Asimismo, el artículo 21.3 establece que el Organismo Supervisor mantendrá accesible al público un servicio de consulta específico donde figure una indicación sobre los citados certificados durante un período que se considere suficiente en función de las consultas efectuadas al mismo.

Por otro lado y en relación con la prestación de servicios cualificados de confianza, el Reglamento EIDAS obliga a los prestadores cualificados de servicios de confianza a informar al Organismo Supervisor de su intención de cesar la prestación de sus servicios (art. 24.2.a), así como a contar con un plan de cese actualizado para garantizar la continuidad del servicio (art. 24.2.i).

Además, conforme a lo indicado (art. 17.4.i) en el citado Reglamento EIDAS este Organismo Supervisor verifica la existencia y la correcta aplicación de las disposiciones relativas a los planes de cese en caso de que los prestadores de servicios de confianza cesen sus actividades.

A lo largo del tiempo, en España han ido cesando sus actividades varios Prestadores de Servicios de Confianza, que lo han comunicado al Organismo Supervisor que ha publicado la información que se transcribe a continuación:

Safe Creative S.L.

  • Nombre o Razón Social: Safe Creative S.L.
  • Nombre Comercial: Safe Creative S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 26 de diciembre de 2019

Signen

  • Nombre o Razón Social: Signen Blockchain S.L.
  • Nombre Comercial: Signen
  • Fecha de resolución por la que se acepta la comunicación de cese: 9 de diciembre de 2019

Netfocus

  • Nombre o Razón Social: Hewlett-Packard Española Sociedad Limitada
  • Nombre Comercial: NETFOCUS
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de abril de 2009
  • El período de validez de todos los certificados electrónicos de Netfocus se encuentra expirado

Telefónica Empresas

  • Nombre o Razón Social: Telefónica Data España, S.A.U
  • Nombre Comercial: Telefónica Empresas
  • Fecha de resolución por la que se acepta la comunicación de cese: 29 de junio de 2012
  • Gestión de los certificados transferida al Prestador de Servicios de Certificación: Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal

CertiVer

  • Nombre o Razón Social: Certificate, Verification & Revocation S.L.
  • Nombre Comercial: CertiVer
  • Fecha de resolución por la que se acepta la comunicación de cese: 07 de junio de 2012  

Banesto CA

  • Nombre o Razón Social: Banco Español de Crédito, S.A
  • Nombre Comercial: Banesto CA
  • Fecha de resolución por la que se acepta la comunicación de cese: 05 de junio de 2013
  • El período de validez de todos los certificados electrónicos de Banesto CA se encuentra expirado

Telefónica GGCC (Grandes cuentas)

  • Nombre o Razón Social:   Telefónica Soluciones de Informática y Comunicaciones de España, S.A. Sociedad Unipersonal
  • Nombre Comercial: Telefónica GGCC (Grandes cuentas)
  • Fecha de resolución por la que se acepta la comunicación de cese: 18 de marzo de 2014

Lista de certificados revocados (CRL) Telefónica

IpsCA

  • Nombre o Razón Social: IPS Certification Authority S.L.
  • Nombre Comercial: IPSCA
  • Fecha de cese: 10 de octubre de 2014

Autoridad de Sellado de Tiempo iCertia

  • Nombre o Razón Social: Evintia, S.L.
  • Nombre comercial: Autoridad de Sellado de Tiempo iCertia
  • Fecha de resolución por la que se acepta la comunicación de cese: 28 de marzo de 2015 

CICCP

  • Nombre o Razón Social: Colegio de Ingenieros de Caminos, Canales y Puertos
  • Nombre Comercial: CICCP
  • Fecha de resolución por la que se acepta la comunicación de cese: 03 de junio de 2015
  • El período de validez de todos los certificados electrónicos de CICCP se encuentra expirado

Healthsign, S.L.

  • Nombre o Razón Social: HEALTHSIGN, S.L.
  • Nombre Comercial: HEALTHSIGN, S.L.
  • Fecha de resolución por la que se acepta la comunicación de cese: 1 de diciembre de 2015

Lista de certificados revocados (CRL) CODIGI CA

Lista de certificados revocados (CRL) CODILL CA

Lista de certificados revocados (CRL) CODITA CA

Lista de certificados revocados (CRL) COMG CA

Lista de certificados revocados (CRL) COMLL CA

Lista de certificados revocados (CRL) COMT CA

STARTCOM

  • Nombre o Razón Social: STARTCOM CA SPAIN S.L.U.
  • Nombre Comercial: STARTCOM
  • Fecha de recepción del escrito de comunicación de cese: 18 de enero de 2018

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 1

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 2

Lista de certificados revocados STARTCOM CLIENT CERTIFICATES 3

Lista de certificados revocados OV

Lista de certificados revocados IV

Lista de certificados revocados EV

Lista de certificados revocados DV

Tractis

  • Nombre o Razón Social: Negonation Platform, S.L.
  • Nombre Comercial: Tractis
  • Fecha de recepción del escrito de comunicación de cese: 21 de marzo de 2018

Banco Santander

  • Nombre o Razón Social: Banco Santander, S.A.
  • Nombre Comercial: Santander
  • Fecha de resolución por la que se acepta la comunicación de cese: 17 de octubre de 2018

Lista de certificados revocados (CRL)

Servicio de Salud de Castilla-La Mancha (SESCAM)

  • Nombre o Razón Social: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Nombre Comercial: Servicio de Salud de Castilla-La Mancha (SESCAM)
  • Fecha de cese: 10 de diciembre de 2018

El Ministerio ha publicado información sobre el Procedimiento administrativo para notificar el cese de un prestador.

Actividades de estandarización de los servicios de confianza en ETSI en 2019


El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés “Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report”.

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada “Publicly-Trusted Certificates”, certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521EN 319 531TS 119 524 Part 2TS 119 534 Part 2TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de PlugtestsTM  de validación de firmas digitales (Digital Signature Validation PlugtestsTM ).

 

 

 

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?


Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen (“Respuestas-anteproyecto-Ley-Servicios-Confianza“) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

  • BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
    Iniciativa     texto íntegro     (PDF)
  • BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
    Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.”

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que “Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado”, por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física”.

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales.”

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.


El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

En el epígrafe “Modificación del teléfono aportando vídeo y documentación relacionada” se indica:

Avisos

  • Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
  • Puede obtener más información sobre este trámite pinchando aquí
  • En la documentación deberá presentar:
  • Copia del DNI/NIE por las dos caras.
  • En el caso de los NIE, copia de la primera hoja del pasaporte.
  • Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
  • Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
    • Nombre y apellidos.
    • DNI/NIE.
    • Trámite que quiere realizar.
    • Número de teléfono que quiere registrar.
    • Puede usar esta frase a modo de guion:
      “Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666” al tiempo que muestra el DNI/NIE por las dos caras.
      El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir “Video autorretratos grabados por los solicitantes” tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

Comunicación de Mozilla a las Autoridades de Certificación


La Fundación Mozilla ha enviado una comunicación a  las Autoridades de Certificación para informar a las CAs que tienen certificados raíz incluidos en el programa de Mozilla en relación con acciones planificadas y las fechas prevista.

La comunicación a las CAs se ha enviado por correo electrónico al Punto de contacto principal  y a un alias de correo electrónico para cada CA del programa de Mozilla, y se les ha pedido que respondan a las siguientes 7 acciones planificadas:

  1. Leer y cumplir plenamente con la versión 2.7 de la Política de la Repositorio  Raíz de Confianza de Mozilla.
  2. Asegurarse de que sus CP y CPS cumplen con la sección 3.3 de la política actualizada que requiere indicar de forma adecuada cuando no aplica un apartado y el mapeo de los documentos de la política a los certificados de las CA.
  3. Confirmar su intención de cumplir con la sección 5.2 de la política de repositorio raíz de Confianza de Mozilla que requiere que los nuevos certificados de entidad final incluyan una extensión EKU que exprese su uso previsto.
  4. Verificar que sus declaraciones de auditoría cumplen los requisitos de formato de Mozilla que facilitan el procesamiento automatizado.
  5. Resolver los problemas con las auditorías de los certificados de CA intermedios que han sido identificados por el sistema automatizado de validación de informes de auditoría.
  6. Confirmar el conocimiento de los requisitos de informes de incidentes de Mozilla y la intención de proporcionar buenos informes de incidentes.
  7. Confirmar el cumplimiento de la versión actual de los requisitos básicos del foro de navegadores y CAs.

Los elementos de acción completos pueden leerse aquí. Las respuestas a la encuesta serán publicadas automática e inmediatamente por la CCADB.

Aunque la participación en el Programa de certificados de CA de Mozilla se somete al criterio de la Fundación Mozilla que puede excluir una CA discrecionalmente, parece que el mejor enfoque para salvaguardar la seguridad de los usuarios es trabajar con las CA como colaboradores, en vez de como adversarios, fomentando una comunicación abierta y franca, y que busque el encuentro al identificar formas de mejorar.

 

Material de estudio para la certificación profesional de Auditor EIdAS


Próximamente TCAB publicará más detalles sobre las jornadas de formación previstas en 2020 para la certificación profesional de Auditor EIdAS.

Ya se ha publicado el contenido previsto de la formación pero todavía no se han publicado las fechas para los exámenes de certificación y aspectos como los requisitos para ser Auditor EIdAS en el esquema de TCAB.

Quienes deseen prepararse para esta cualificación profesional pueden descargarse y utilizar como material de estudio las guías publicadas por ENISA.

Aunque el material está en inglés, a continuación se relacionan algunos de los documentos disponibles indicando también la traducción del título al español: