Archivo de la categoría: Ciberseguridad

Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) nº 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»


Se ha publicado un Dictamen del Comité Económico y Social Europeo sobre la «Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifica el Reglamento (UE) no 910/2014 en lo que respecta al establecimiento de un Marco para una Identidad Digital Europea»

Ponente: Tymoteusz Adam ZYCH
Consulta Parlamento Europeo, 8.7.2021
Consejo, 15.7.2021
Fundamento jurídico Artículo 114 del Tratado de Funcionamiento de la Unión Europea.
Sección competente Mercado Único, Producción y Consumo
Aprobado en sección 30.9.2021
Aprobado en el pleno 20.10.2021
Pleno nº 564
Resultado de la votación: 229 a favor / 2 en contra / 5 abstenciones

  1. Conclusiones y recomendaciones

    1.1. El Comité Económico y Social Europeo (CESE) acoge con satisfacción la propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad
    digital europea
    , propuesta que adaptaría dicho acto jurídico a las necesidades actuales del mercado. La evaluación del Reglamento vigente ha puesto de manifiesto la necesidad de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso tanto al sector privado como al público y que estén disponibles para la gran mayoría de ciudadanos y residentes europeos.

    1.2. Sin embargo, el CESE observa que la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y
    personas con discapacidad
    . Por consiguiente, el CESE pide a la Comisión Europea y a los Estados miembros que establezcan el marco necesario para la campaña de educación e información digitales, que debería servir al mismo tiempo para aumentar la sensibilización en el ámbito de la protección de los datos personales.

    1.3. El CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser discrecional y gratuito. No obstante, la introducción de nuevas soluciones digitales implica necesariamente un tiempo y un gasto considerables. Por ello, el CESE pide a la Comisión Europea que profundice en la evaluación del tiempo necesario para la aplicación real del nuevo Reglamento a fin de no afectar negativamente al mercado y que proporcione un análisis más detallado y una mayor claridad en el Reglamento respecto a los costes previstos de su aplicación.

    1.4. El CESE observa que la sección 9 del Reglamento propuesto prevé el reconocimiento transfronterizo obligatorio de las declaraciones electrónicas de atributos cualificadas emitidas en un Estado miembro. Sin embargo, teniendo en cuenta que las disposiciones del Derecho interno varían a menudo considerablemente entre los Estados miembros, el CESE reconoce la necesidad de aclarar que el reconocimiento de una declaración electrónica de atributos cualificada en un Estado miembro se limita a la confirmación de los hechos, de manera análoga a lo establecido en el apartado 4 del artículo 2 del Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea (Reglamento (UE) 2016/1191 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, por el que se facilita la libre circulación de los ciudadanos simplificando los requisitos de presentación de determinados documentos públicos en la Unión Europea y por el que se modifica el Reglamento (UE) n.o 1024/2012 (DO L 200 de 26.7.2016, p. 1) ): «El presente Reglamento no se aplica al reconocimiento en un Estado miembro de los efectos jurídicos relativos al contenido de los documentos públicos expedidos por las autoridades de otro Estado miembro».

    1.5. Desde el punto de vista del CESE, la protección efectiva de los datos debe examinarse especialmente en el contexto de la protección de los derechos fundamentales, en particular el derecho a la intimidad y el derecho a la protección de los datos personales. El CESE respalda por ello plenamente el requisito de que el marco para una identidad digital europea proporcione a los usuarios los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente. El CESE invita a la Comisión y a los Estados miembros a que incluyan en las consultas sobre los aspectos técnicos del marco para una identidad digital europea la creación de un registro que permita a los usuarios rastrear cualquier acceso a sus datos.

    1.6. El CESE desea destacar las preocupaciones en materia de seguridad relacionadas con el proceso de digitalización, en particular las referidas al desarrollo de los enormes sistemas que almacenan y procesan datos vulnerables al fraude y la pérdida. El CESE también es consciente de que actualmente no existe ningún sistema de seguridad capaz de ofrecer una protección completa de los datos. Así pues, el CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos (por ejemplo, el robo o la divulgación de estos). Esta garantía debe ser independiente de que exista o no culpa del proveedor.
  2. Introducción

    2.1. El objeto del presente Dictamen es la propuesta de Reglamento de la CE por el que se modifica el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73) ) («Reglamento eIDAS») en lo que respecta al establecimiento de un marco para una identidad digital europea.

    2.2. Como se señala en la exposición de motivos, el Reglamento eIDAS proporcionaría las siguientes protecciones y beneficios: 1) acceso a soluciones de identidad electrónica altamente seguras y fiables; 2) la garantía de que los servicios públicos y privados puedan apoyarse en soluciones de identidad digital fiables y seguras; 3) la garantía de que las personas físicas y jurídicas puedan utilizar soluciones de identidad digital; 4) la seguridad de que dichas soluciones presenten un conjunto de atributos y permitan el intercambio selectivo de datos de identidad, y de que dichos datos se limiten a las necesidades del servicio específico solicitado; y 5) la garantía de la aceptación de los servicios de confianza en la Unión Europea y de la igualdad de condiciones para su prestación. Las modificaciones propuestas responden al aumento de la demanda de soluciones digitales transfronterizas fiables que satisfagan la necesidad de identificar y autenticar a los usuarios con un elevado nivel de garantía.
  1. Observaciones generales

    3.1. El CESE es consciente de las nuevas demandas del mercado interior en cuanto al desarrollo de servicios electrónicos de identificación y confianza para las transacciones electrónicas transfronterizas. Las soluciones existentes previstas en el Reglamento eIDAS, que empezaron a surtir efectos jurídicos en varias fases a partir de julio de 2016, no satisfacen dichas demandas, lo que se confirma por el hecho de que, en este momento, solo el 59 % de los residentes en la UE tengan acceso a soluciones seguras y fiables de identidad electrónica. Además, el acceso transfronterizo a estos servicios resulta limitado por la falta de interoperabilidad entre los sistemas que ofrecen los distintos Estados miembros.

    3.2. Por ello, el CESE acoge con satisfacción la nueva propuesta de la Comisión Europea de un instrumento que modifica el Reglamento eIDAS en lo que respecta al establecimiento de un marco para una identidad digital europea, propuesta que
    adaptaría dicho acto jurídico a las necesidades actuales del mercado. Se calcula que las soluciones propuestas en el documento de la Comisión podrían contribuir a aumentar el número de usuarios de la identidad digital hasta el 80 % o incluso el 100 % de todos los ciudadanos y residentes de la UE.

    3.3. El CESE acoge con especial satisfacción las soluciones destinadas a aumentar la seguridad de los datos personales de los usuarios garantizando la discrecionalidad de compartir o no dichos datos y la posibilidad de controlar la naturaleza y la cantidad de datos facilitados a las partes usuarias. Según la propuesta, los Estados miembros mantendrán el control sobre los proveedores de servicios digitales, por lo que garantizarían que los conjuntos de datos sensibles (por ejemplo, relacionados con la salud, la religión y las creencias, las opiniones políticas o el origen racial o étnico) solo sean facilitados por los proveedores de servicios, cuando se les solicite, tras una decisión informada adoptada por el titular de la identidad de conformidad con la legislación nacional aplicable.

    3.4. El CESE señala que el calendario para la aplicación de determinadas disposiciones del nuevo Reglamento es bastante optimista e invita a la Comisión Europea a que, al establecer los plazos de aplicación definitivos, también tenga en cuenta el tiempo necesario para que los proveedores de servicios mejoren sus sistemas informáticos para cumplir las nuevas obligaciones. Por consiguiente, el CESE pide a la Comisión que analice en más profundidad el tiempo necesario para la aplicación real del nuevo Reglamento y, en consecuencia, amplíe el plazo de aplicación a fin de no afectar al mercado pertinente. Por ejemplo, la entrada en vigor del Reglamento obligará a que los actuales proveedores cualificados de servicios de confianza que ofrezcan la posibilidad de firma a distancia basada en dispositivos cualificados de creación de firmas electrónicas se conviertan en proveedores cualificados para ese servicio específico; estos proveedores necesitarán tiempo tanto para poner en práctica los aspectos técnicos como para completar el procedimiento de autorización.

    3.5. El CESE señala que, independientemente de sus beneficios, la digitalización de los servicios propuesta puede conducir a la exclusión de partes de la sociedad europea, en particular de personas de edad avanzada, personas con escasa alfabetización digital y personas con discapacidad. El CESE reconoce el papel esencial de la educación de la ciudadanía europea para combatir dicha exclusión; al mismo tiempo, dicha educación debe servir para aumentar la sensibilización en el ámbito de la protección de los datos personales.
  1. Disponibilidad de un marco para una identidad digital europea y discrecionalidad de su uso

    4.1. El CESE acoge favorablemente la idea de ofrecer soluciones mejoradas para los servicios digitales que amplíen el acceso no solo a los servicios públicos, sino también al sector privado. Por otra parte, el CESE está de acuerdo con los intentos de la Comisión Europea de poner un marco para una identidad digital europea a disposición de la inmensa mayoría de los ciudadanos europeos. Debido a los obstáculos que existen para el acceso transfronterizo a los servicios de identidad electrónica (por ejemplo, la falta de interoperabilidad entre los sistemas de identidad electrónica desarrollados por los Estados miembros), muchos residentes de la UE no los utilizan en absoluto. Las nuevas soluciones basadas en las carteras de identidad digital europea pueden contribuir a que al menos el 80 % de los europeos dispongan de servicios en línea fiables.

    4.2. Por tanto, el CESE respalda la propuesta de requerir que los Estados miembros emitan una cartera de identidad europea, un instrumento que permitiría a los usuarios: 1) solicitar y obtener, almacenar, seleccionar, combinar y compartir de forma segura, transparente y rastreable por el usuario, los datos de identificación de persona jurídica y la declaración electrónica de atributos que sean necesarios para autenticarse en línea y fuera de línea con el fin de acceder a servicios públicos y privados en línea; y 2) firmar por medio de firmas electrónicas cualificadas.

    4.3. Además, el CESE acoge favorablemente la propuesta de garantizar que la cartera de identidad digital europea sea igualmente accesible para las personas con discapacidad de conformidad con las disposiciones del anexo I de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70) ), en consonancia con el principio de no discriminación de la UE establecido en el artículo 21 de la Carta de los Derechos Fundamentales de la Unión Europea. Con el fin de evitar la exclusión digital en ese ámbito, el CESE propone que todas las soluciones se desarrollen en cooperación con las instituciones competentes y las ONG para personas con discapacidad, aplicando un enfoque basado en la participación de múltiples partes interesadas.

    4.4. Desde el punto de vista del CESE, el hecho de que el uso de una cartera de identidad digital europea sea discrecional para los ciudadanos y residentes también es un aspecto positivo. El CESE considera que los usuarios no deberían estar obligados a utilizar dicha cartera para acceder a servicios privados o públicos, sino simplemente tener la posibilidad de hacerlo.

    4.5. Desde el punto de vista de la asequibilidad, el CESE acoge con satisfacción que el uso de la cartera de identidad digital europea vaya a ser gratuito para los usuarios. No obstante, el CESE pide a la Comisión Europea que analice y aclare más detalladamente en el Reglamento los siguientes aspectos: i) el coste de emisión para las personas físicas, ii) los costes (de emisión y uso) para las entidades jurídicas y iii) los costes de añadir atributos de identidad digital a dicha cartera, ya que el CESE considera que cada una de estas adiciones representaría un servicio de confianza, por lo que conllevaría costes para el propietario de la cartera.
  2. Aspectos relativos a la facilidad de uso de un marco para una identidad digital europea

    5.1. El CESE acoge con satisfacción la iniciativa de la Comisión Europea de mejorar la facilidad de uso de los medios de identificación electrónica mediante la creación de un marco común para una identidad digital europea basado en la confianza transfronteriza en las carteras de identidad digital europea.

    5.2. Según la propuesta, la facilidad de uso puede mejorarse con los medios previstos en el nuevo artículo 12 ter del Reglamento eIDAS. Dicho artículo contiene una serie de requisitos relativos al reconocimiento de las carteras de identidad digital europea, dirigidos no solo a los Estados miembros sino también a las partes usuarias privadas prestadoras de servicios y a las «plataformas en línea de muy gran tamaño», definidas en el artículo 25, apartado 1, de la Ley de Servicios Digitales propuesta (Propuesta de Reglamento relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE – COM (2020) 825 final). Sobre la base de estas nuevas disposiciones, algunos sectores privados (transporte, energía, servicios bancarios y financieros, seguridad social, salud, agua potable, servicios postales, infraestructuras digitales, educación y telecomunicaciones) deberán aceptar el uso de carteras de identidad digital europea para la prestación de servicios en los casos en que la legislación nacional o de la UE o las obligaciones contractuales exijan una autenticación reforzada del usuario para la identificación en línea. Según la propuesta de la Comisión, este mismo requisito se aplicaría a las plataformas en línea de muy gran tamaño (por ejemplo, las redes sociales), las cuales deberían aceptar el uso de carteras de identidad digital europea en relación con los atributos mínimos necesarios para un servicio en línea determinado para el que se solicite autenticación, como la acreditación de la edad.

    5.3. El CESE señala que, para garantizar la disponibilidad generalizada y facilidad de uso de los medios de identificación electrónica, incluidas las carteras de identidad digital europea, los proveedores privados de servicios en línea (que no sean considerados «plataformas de muy gran tamaño») deberían participar en el desarrollo de «códigos de conducta» de autorregulación que faciliten una amplia aceptación de los medios de identificación electrónica. La Comisión Europea debe ser la encargada de evaluar la eficacia y facilidad de uso de dichas disposiciones para los usuarios de carteras de identidad digital europea.
  1. Cuestiones relativas a los efectos jurídicos de las carteras de identidad digital europea

    6.1. El CESE respalda la propuesta en lo que se refiere a la mejora del acceso a los servicios públicos digitales, en particular en situaciones transfronterizas.

    6.2. La nueva sección 9 propuesta del Reglamento eIDAS establece que una declaración electrónica de atributos cualificada emitida en un Estado miembro debe reconocerse como declaración electrónica de atributos cualificada en cualquier otro Estado miembro.

    6.3. Sin embargo, por lo que se refiere al Derecho interno de los Estados miembros, que en algunos casos puede diferir significativamente de un Estado a otro, el CESE señala que los atributos cotejados con fuentes auténticas en un Estado miembro deben limitarse únicamente a la confirmación de circunstancias de hecho y no deben producir efectos jurídicos en otros Estados miembros, a menos que los atributos en cuestión se ajusten a su legislación nacional. En esencia, las soluciones jurídicas propuestas no deben afectar al reconocimiento en un Estado miembro de efectos jurídicos relacionados con el contenido de atributos cotejados con fuentes auténticas en otro Estado miembro, por analogía con lo dispuesto en el Reglamento (UE) 2016/1191. Un ejemplo de ello pueden ser determinados datos personales (relativos a la religión o las creencias de una persona). En algunos países de la UE, este tipo de información surte efectos jurídicos (por ejemplo, en Alemania, los datos del registro civil incluyen información sobre la religión, que determina la obligación de pagar un impuesto eclesiástico para casarse por ceremonia religiosa), mientras que en otros países (como Polonia) carece de tales efectos.

    6.4. Por consiguiente, el CESE invita a la Comisión Europea a que considere la posibilidad de aclarar el texto de la sección 9 a fin de dejar claro que el reconocimiento en cualquier otro Estado miembro de una declaración electrónica de atributos cualificada se limita a la confirmación de las circunstancias de hecho relacionadas con el atributo en cuestión y no produce efectos jurídicos en otros Estados miembros a menos que los atributos declarados se ajusten a su legislación nacional.
  2. Aspectos de seguridad

    A. Protección de datos en el contexto de los derechos fundamentales


    7.1. El CESE observa que, debido a la falta de un marco común para una identidad digital europea, en la mayoría de los casos los ciudadanos y otros residentes se enfrentan a obstáculos para el intercambio digital transfronterizo de información relacionada con su identidad, así como para intercambiar dicha información de forma segura y con un nivel elevado de protección de datos.

    7.2. El CESE acoge por ello positivamente los intentos de crear un sistema interoperable y seguro basado en carteras de identidad electrónica europea, que podría mejorar el intercambio de información entre los Estados miembros en relación con las situaciones laborales o los derechos sociales, entre otras cuestiones. En este contexto, el CESE espera que el nuevo marco para una identidad digital europea genere, por ejemplo, posibilidades de aumentar rápidamente las oportunidades de empleo transfronterizo y de ampliar la concesión automática de derechos sociales sin procedimientos de solicitud u otros esfuerzos administrativos adicionales.

    7.3. Sin embargo, desde el punto de vista del CESE, la protección efectiva de los datos es la principal preocupación que debe abordarse en el contexto de la protección de los derechos fundamentales, especialmente el derecho a la intimidad y el derecho a la protección de los datos personales.

    7.4. Por lo tanto, el CESE apoya plenamente el requisito de que el marco para una identidad digital europea proporcione a todas las personas los medios para controlar quién tiene acceso a su gemelo digital y a qué datos puede acceder exactamente (también en relación con el acceso desde el sector público). Como se indica en la propuesta, esto requerirá asimismo un nivel alto de seguridad en todos los aspectos de la provisión de la identidad digital, incluida la expedición de una cartera de identidad digital europea, y la infraestructura necesaria para la recopilación, el almacenamiento y la divulgación de datos de identidad digital.

    7.5. En este contexto, el CESE acoge favorablemente la propuesta de que los usuarios tengan derecho a revelar de forma selectiva sus atributos, limitándolos a los que sean necesarios en una situación determinada. En virtud de la propuesta, al utilizar la cartera de identidad digital europea el usuario podrá controlar la cantidad de datos que proporciona a terceros, y deberá ser informado de los atributos requeridos para la prestación de un determinado servicio.

    7.6. El CESE apoya la propuesta de separar física y lógicamente los datos personales relacionados con la provisión de carteras de identidad digital europea de cualquier otro dato almacenado por los emisores de dichas carteras, y respalda el requisito de que los proveedores de servicios cualificados de declaración electrónica de atributos deban constituir una entidad jurídica separada.

    7.7. Además de la necesidad de garantizar una protección eficaz de los datos, resulta esencial que los usuarios tengan control sobre sus datos. En ese sentido, el CESE también respaldaría la creación de un marco para una identidad digital europea basado en identidades legales expedidas por los Estados miembros y en la provisión de atributos de identidad digital cualificados y no cualificados.

    7.8. El CESE subraya que, para garantizar un elevado nivel de protección jurídica de sus datos, los usuarios deberían tener un mayor control sobre las carteras de identidad de datos europea, en particular mediante la rastreabilidad del acceso a los datos de cada usuario. A tal fin, los aspectos técnicos —que se determinarán durante los debates posteriores a la aprobación de la propuesta— deben incluir la creación de un registro que permita al usuario verificar, previa solicitud, cualquier acceso a sus datos que se produzca.

    B. Otros aspectos relacionados con la seguridad y la responsabilidad

    7.9. De acuerdo con la propuesta, el nuevo marco para una identidad digital europea proporcionará mecanismos para prevenir el fraude y garantizar la autenticación de los datos de identificación personal. La propuesta incluye una disposición que introduce medios que permiten el cotejo de los atributos con fuentes auténticas: esto podría mejorar, por ejemplo, la seguridad en línea de los niños y niñas impidiéndoles acceder a contenidos inadecuados para su edad. El CESE señala que, a nivel nacional, tal protección no existe actualmente o es muy ineficaz.

    7.10. El CESE acoge con satisfacción la idea de que los navegadores web deban garantizar la compatibilidad e interoperabilidad con los certificados cualificados para la autenticación de sitios web previstos en el Reglamento eIDAS. A tal efecto, deben reconocer y mostrar certificados cualificados para la autenticación de sitios web con objeto de ofrecer un nivel alto de seguridad, lo que permitiría a los propietarios de los sitios web demostrar su identidad como propietarios de un sitio web y a los usuarios identificar a los propietarios de los sitios web con un alto grado de certeza. Al mismo tiempo, el CESE considera necesario proporcionar mecanismos de recurso sencillos, rápidos y eficaces para garantizar el desbloqueo de los sitios web que hayan sido marcados indebidamente como peligrosos. También deben establecerse normas en materia de responsabilidad en relación con todos los casos en que un sitio web sea calificado incorrectamente como peligroso.

    7.11. El CESE desea destacar que toda digitalización de datos plantea problemas de seguridad, especialmente por lo que se refiere a los enormes sistemas de almacenamiento y procesamiento de datos, que constituyen una fuente de información vulnerable al fraude y la pérdida. El CESE también es consciente de que hoy por hoy no existe un sistema de seguridad plenamente eficaz (es decir, sin lagunas ni errores) capaz de eliminar por completo esta amenaza.

    7.12. Señala por ello que, para minimizar todas estas situaciones indeseables relacionadas con los datos de los usuarios, la arquitectura técnica del marco para una identidad digital europea desarrollado por los Estados miembros en coordinación con la Comisión debería centrarse en medidas que aumenten la seguridad de los datos y proporcionen mecanismos de control de los datos. Estos mecanismos son importantes, por ejemplo, en contextos en los que los datos recabados de los usuarios se utilicen para fines distintos de los previstos inicialmente. Al mismo tiempo, el CESE considera que la arquitectura técnica debe desarrollarse respetando los derechos fundamentales y el principio de soberanía de los Estados miembros.

    7.13. El CESE constata que el artículo 13, apartado 1, del Reglamento eIDAS establece que los proveedores de servicios de confianza serán responsables por los daños causados de forma intencionada o por negligencia a cualquier persona física o jurídica como consecuencia del incumplimiento de las obligaciones derivadas de dicho Reglamento (y de las obligaciones de gestión de los riesgos para la ciberseguridad contempladas en el artículo 18 de la Directiva SRI2 propuesta, según se establece en la propuesta de la Comisión). Esta disposición debe aplicarse de conformidad con las normas nacionales en materia de responsabilidad (artículo 13, apartado 3).

    7.14. En el contexto de las preocupaciones relativas a la responsabilidad, el CESE desea señalar que las cuestiones relacionadas con la definición de los daños, su cuantía y la indemnización correspondiente están reguladas por el Derecho interno de los Estados miembros. La responsabilidad de los proveedores de servicios de confianza puede verse limitada en virtud de las disposiciones pertinentes del Derecho interno y de las «políticas de prestación de servicios», que son definidas por los proveedores.

    7.15. El CESE considera que debe garantizarse a los usuarios de carteras de identidad digital europea una indemnización por cualquier situación indeseable relacionada con sus datos, entre otras el robo, pérdida o divulgación de datos o el uso de estos para fines distintos de los previstos originalmente. Esta obligación debe incluir todas las situaciones mencionadas, independientemente de que exista o no culpa del proveedor (por dolo o negligencia).

    7.16. Cualquier robo, divulgación no autorizada o pérdida de datos (especialmente datos personales) puede causar un daño a largo plazo a su propietario. Una vez difundida la información digital, muchas entidades pueden hacerse con ella a lo largo del tiempo en contra de la voluntad de su propietario. El CESE anima a la Comisión y a los Estados miembros a que busquen y desarrollen mecanismos eficaces que amparen a los propietarios de los datos en tales casos.

    7.17. Las soluciones propuestas del nuevo sistema obligarán a los proveedores de servicios a mejorar significativamente sus sistemas de seguridad electrónica a un nivel mucho más elevado, prestando especial atención a la ciberseguridad. El CESE prevé que esto conlleve costes significativos y una modernización de la infraestructura informática actual y pueda suponer una carga excesiva para algunos proveedores de servicios, que podría incluso dar lugar a la desaparición, en algunos mercados, de los proveedores de servicios que no puedan permitirse tales inversiones en un breve período de tiempo. Por lo tanto, el CESE considera que la Comisión y los Estados miembros deberían buscar soluciones que protejan a los proveedores frente a la discriminación en este ámbito y permitan un «aterrizaje suave» en ese sentido, en particular ofreciendo la posibilidad de garantizar el cumplimiento de los nuevos requisitos en varias fases, dentro de un plazo razonable.


Bruselas, 20 de octubre de 2021
La Presidenta
del Comité Económico y Social Europeo
Christa SCHWENG

Actividades de estandarización de los servicios de confianza en ETSI en 2019


El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés «Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report».

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada «Publicly-Trusted Certificates», certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521EN 319 531TS 119 524 Part 2TS 119 534 Part 2TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de PlugtestsTM  de validación de firmas digitales (Digital Signature Validation PlugtestsTM ).

 

 

 

Políticas europeas, qué se cuece


La Comisión Europea ha publicado su estrategia digital, su estrategia de datos y un Informe (White paper) sobre inteligencia artificial.

Tiene previsto iniciar una consulta pública sobre las prioridades en materia de certificación de ciberseguridad.

Agenda digital

La Comisión Europea ha publicado su estrategia digital: «Dando forma al futuro digital de Europa» («Shaping Europe’s digital future»).

El 19 de febrero de 2020, la Comisión Europea publicó su  estrategia digital y su visión para la formulación de políticas digitales en los próximos cinco años. La agenda digital esboza varias iniciativas legislativas y no legislativas previstas por la Comisión en los próximos meses. Algunos de los aspectos más destacados para los entidades dedicadas a las infraestructuras digitales son los siguientes:

  • Ley de Servicios Digitales (Q4 2020). Normas nuevas y revisadas para profundizar en el mercado interior de los servicios digitales, aumentando y armonizando las responsabilidades de las plataformas en línea y los proveedores de servicios de información y reforzando la supervisión de las políticas de contenido de las plataformas en la UE. Según la Comisión, la venta de productos ilícitos, peligrosos o falsificados y la difusión de contenidos ilegales deben abordarse con la mayor eficacia posible.
  • Cumplir una nueva Agenda del Consumidor (Q4 2020).
  • Revisión del Reglamento eIDAS (Q4 2020): para mejorar su eficacia, extender sus beneficios al sector privado y promover identidades digitales de confianza para todos los europeos. Según la Comisión, es necesario contar con una nueva Identidad Digital (eId) pública, universalmente aceptada para que los consumidores tengan acceso a sus datos y utilicen de forma segura los productos y servicios que desean sin tener que utilizar plataformas no relacionadas y compartir innecesariamente datos personales con estas plataformas.
  • Estrategia europea de ciberseguridad, que incluya el establecimiento de una unidad conjunta de ciberseguridad, una revisión de la Directiva sobre la seguridad de las redes y los sistemas de información (NIS) y un impulso al mercado único de ciberseguridad.

Protección de datos

La Comisión Europea reveló «Una estrategia europea para los datos» («A European strategy for data»)

El 19 de febrero de 2020, la Comisión Europea publicó su  estrategia de datos. . Según la Comisión, «los datos son el elemento vital del desarrollo económico», como «la base de muchos productos y servicios nuevos, que impulsan el aumento de la productividad y la eficiencia de los recursos en todos los sectores de la economía». Los datos no sólo permiten «productos y servicios más personalizados», sino que también permiten «una mejor elaboración de políticas» y mejoran los servicios gubernamentales. La estrategia de datos reconoce conceptos diferentes al acceso a los datos ejercido en los Estados Unidos y China, al tiempo que subraya la necesidad de que Europa encuentre su propio camino, «equilibrando el flujo y el amplio uso de los datos, al tiempo que se preservan unas elevadas normas de privacidad, seguridad y ética».

A fin de utilizar el potencial de la economía de datos en beneficio de las personas y la sociedad en general, la Comisión Europea se propone «crear un espacio único europeo de datos -un verdadero mercado único de datos, abierto a los datos de todo el mundo- en el que los datos personales y no personales, incluidos los datos comerciales sensibles, estén seguros y las empresas también tengan fácil acceso a una cantidad casi infinita de datos industriales de alta calidad».

Según la Comisión Europea, «actualmente no se dispone de suficientes datos para una reutilización innovadora, incluso para el desarrollo de la inteligencia artificial». Entre los obstáculos a la reutilización de datos en Europa figuran (entre otros) la fragmentación de los marcos jurídicos de los Estados miembros, la falta de incentivos económicos para el intercambio de datos entre empresas, los desequilibrios en el poder de mercado, la falta de formatos normalizados interoperables para la reunión y el procesamiento de datos de diferentes fuentes y los problemas que plantea la nube tanto del lado de la oferta como del de la demanda.

Como parte de su visión hacia una economía de datos reforzada, la Comisión Europea tiene la intención de poner en marcha:

  • Un marco legislativo para la gobernanza de los espacios comunes de datos europeos (en el cuarto trimestre de 2020) para «fomentar la interoperabilidad de los datos entre sectores y, cuando sea pertinente, dentro de los sectores» (centrándose en las actividades de normalización).
  • Ley de datos (2021), que, entre otras cosas, tiene por objeto incluir la revisión de la Directiva sobre bases de datos y una posible aclaración de la aplicación de la Directiva sobre la protección de los secretos comerciales (evaluación del marco jurídico de los derechos de propiedad intelectual de la UE).

El Comité Europeo de Protección de Datos (EDPB por sus siglas en inglés) proporcionó orientación sobre la aplicabilidad del RGPD (Reglamento Generaql de Protección de Datos) a los algoritmos injustos.

En su  respuesta a la solicitud de la diputada Sophie in ‘t Veld sobre la idoneidad del RGPD como marco legal para proteger a los ciudadanos de algoritmos injustos, el Comité Europeo de Protección de Datos (EDPB) puso en duda la validez general de una suposición común «de que cuantos más datos se utilicen para entrenar algoritmos, más precisos serán para predecir aquello para lo que fueron entrenados».

Según la EDPB, el enfoque de «maximización de datos» crea un incentivo para la recopilación y posterior procesamiento de datos potencialmente ilegales.

Los algoritmos son cada vez más complejos, lo que los hace menos transparentes, según el EDPB. En lo que respecta a la adopción de decisiones por los algoritmos, los principios generales consagrados en el artículo 5 del RGPD , «específicamente la legalidad, la equidad y la transparencia, la exactitud, la minimización de los datos y la limitación de la finalidad rigen el tratamiento de los datos personales, tanto al crear como al utilizar los algoritmos». El RGPD también exige que «toda persona que utilice un algoritmo para la adopción automática de decisiones, informe a los interesados de la existencia de este proceso y proporcione información significativa sobre su lógica, así como sobre el significado y las consecuencias previstas», según la EDPB. Por último, la EDPB considera que ya existe un amplio marco jurídico en torno a la protección de datos, y que es prematuro en este momento promulgar una legislación adicional en la esfera de la protección de datos dirigida a una tecnología específica. La atención debería centrarse más bien en el desarrollo de las normas existentes, especialmente los requisitos de transparencia y rendición de cuentas.

Ciberseguridad

La Comisión Europea anunció su Libro Blanco sobre Inteligencia Artificial

El 19 de febrero de 2020, la Comisión Europea publicó su «Libro Blanco sobre Inteligencia Artificial – Un enfoque europeo de la excelencia y la confianza»  («White Paper on Artificial Intelligence – A European approach to excellence and trust»).

Según el Libro Blanco, Europa debe esforzarse por crear un «ecosistema de excelencia» y un «ecosistema de confianza» al elaborar el marco normativo y reglamentario de la inteligencia artificial (IA).

Según la Comisión, las tecnologías de la IA tienen muchos beneficios públicos, por ejemplo, al «dotar de instrumentos adecuados para garantizar la seguridad de los ciudadanos a las autoridades encargadas de hacer cumplir la ley». En particular, ayudan a identificar la propaganda terrorista en línea y a «identificar objetos ocultos peligrosos o sustancias o productos ilícitos».

Sin embargo, la IA también plantea un cierto riesgo elevado para nuestra sociedad, según el Libro Blanco. De ahí que las tecnologías de la IA cambien el concepto de seguridad establecido actualmente en la UE por el marco jurídico pertinente.

Según el Libro Blanco, esos riesgos pueden estar vinculados a las ciberamenazas, a los riesgos de seguridad personal o a los riesgos derivados de la pérdida de conectividad.

A fin de apoyar la confianza de los consumidores en las tecnologías de la inteligencia artificial, sería conveniente que el próximo marco normativo de la UE sobre la inteligencia artificial abarque explícitamente determinados «requisitos clave». En la actualidad, los requisitos relativos a la transparencia, la trazabilidad y la supervisión humana de la adopción de decisiones en materia de algoritmos no están contemplados específicamente en ninguna legislación en vigor.

Además de proponer enmiendas a la legislación vigente (por ejemplo, la Directiva sobre la responsabilidad por la seguridad de los productos), «podría ser necesaria una nueva legislación específica sobre la IA».

Además, la Agencia  ENISA tiene previsto realizar un estudio del panorama de amenazas sobre la IA, a fin de alimentar la labor de la Comisión Europea sobre la IA. Tras la publicación del Libro Blanco, la Comisión Europea está  recopilando propuestas  de forma abierta. Existe una consulta pública que se prevé finalice el 31 de mayo de 2020.

La Comisión Europea tiene previsto abrir una consulta pública sobre las prioridades en la certificación de la ciberseguridad

En un acto sobre ciberseguridad celebrado en Bruselas, un representante de la Comisión Europea proporcionó cierta información sobre los actuales planes de certificación de la ciberseguridad que se están preparando, tras la aplicación de la Ley de ciberseguridad de la Unión Europea. La Ley sobre ciberseguridad establece el primer marco de certificación en toda la Unión Europea que prevé la introducción de planes de certificación de la ciberseguridad  para «productos, servicios y procesos de TIC».

En virtud de la Ley de ciberseguridad, se ha abierto una «vía para la certificación obligatoria», pero actualmente la prioridad es asegurarse de que se introduzcan los planes. Es necesario determinar las prioridades de los futuros planes en el Programa de Trabajo Permanente de la Unión, aprobado por la Comisión Europea.

La Comisión tiene previsto abrir una consulta pública sobre las prioridades del Programa de trabajo renovable de la Unión para finales del primer trimestre de 2020. Todo plan obligatorio que se introduzca en el futuro debe ir acompañado de la legislación pertinente, según la Comisión Europea. Todo plan obligatorio también debe estar justificado por la correspondiente evolución del mercado.

Material de estudio para la certificación profesional de Auditor EIdAS


Próximamente TCAB publicará más detalles sobre las jornadas de formación previstas en 2020 para la certificación profesional de Auditor EIdAS.

Ya se ha publicado el contenido previsto de la formación pero todavía no se han publicado las fechas para los exámenes de certificación y aspectos como los requisitos para ser Auditor EIdAS en el esquema de TCAB.

Quienes deseen prepararse para esta cualificación profesional pueden descargarse y utilizar como material de estudio las guías publicadas por ENISA.

Aunque el material está en inglés, a continuación se relacionan algunos de los documentos disponibles indicando también la traducción del título al español:

El portal Criptored celebra sus 20 años impulsando la seguridad de la información y la criptografía


A comienzos de diciembre del año 1999, hace ya veinte años, se iniciaba en el seno de la UPM (Universidad Politécnica de Madrid), de la mano de Jorge Ramió Aguirre, el portal Criptored, una aventura de colaboración de ámbito iberoamericano en temas relacionados con la seguridad de la información y la criptografía, usando lo que en aquellos años se denominaban redes temáticas.

Eran sitios web en los que se inscribían los interesados en la temática y desde los que podían aportar y obtener conocimiento, muchas veces en forma de documentos con licencias destinadas a compartir.

Hay que recordar que las actuales redes sociales LinkedIn (2002), Facebook (2004), YouTube (2005), Twitter (2006) o Instagram (2010) no habían nacido, si bien Hispasec,  un ilustre predecesor, ya cumplía un año de vida.

En 1996 había aparecido «PGP Magazine», el primer boletín electrónico sobre criptología, en Internet y en castellano y un año después, sus promotores pusieron en marcha otro boletín: «Kriptópolis».

De modo que 1999 vio el nacimiento de la «Red Temática Iberoamericana de Criptografía y Seguridad de la Información» Criptored, cuyas primeras páginas web pueden rescatarse desde Wayback Machine.

Lo que se inicia como una pionera red temática en habla hispana, con miembros a título personal, universidades e instituciones formando parte de el colectivo de inscritos de alta, con 50 miembros al finalizar diciembre de 1999, llegó en 2005 a superar los mil miembros y las 250 instituciones de investigación y educación superior de una veintena de países.

Con el paso de los años va cambiando su fisonomía y se convierte en la actual red de profesionales conectados a través de sus redes sociales en LinkedIn, Twitter y Facebook.

En estos años Criptored ha aportado a la comunidad diversos proyectos de amplia difusión de la seguridad de la información como, por ejemplo, los congresos CIBSI y TIBETS, que ya han tenido 10 ediciones, los proyectos educativos multimedia Enciclopedia de Seguridad de la Información intypedia con 862.569 visualizaciones en YouTube, las píldoras formativas Thoth con 523.228 reproducciones en YouTube, el primer MOOC Massive Open Online Course en español Crypt4you, rozando ya el millón y medio de accesos, el proyecto Mapa de Enseñanza de la Seguridad de la Información MESI y, últimamente, los Cuadernos de Laboratorio de Criptografía CLCript, también con miles de descargas.

Criptored, ha sido reconocido con diversos premios nacionales por sus proyectos y por la difusión de la seguridad, y acoge actualmente 1.700 accesos diarios al sitio web.

A comienzos del año 2020, Criptored tiene previsto cambiar su formato web para seguir impulsando la difusión de la seguridad informática y la criptografía.

Hay que felicitar a a los doctores D. Jorge Ramió Aguirre y D.Alfonso Muñoz Muñoz su empeño personal en mantener con tanta pujanza este proyecto.

INDOTEL aprueba el nuevo marco regulatorio para servicios de certificación digital y confianza en República Dominicana, alineado con el #eIdAS


Mediante la Resolución No. 071-19 del Consejo Directivo INDOTEL aprobó la Norma Complementaria por la que se establece la equivalencia regulatoria del sistema dominicano de Infraestructura de Claves Públicas y de Confianza con los marcos regulatorios internacionales de servicios de confianza, así como la Norma Complementaria sobre Procedimientos de Autorización y Acreditación.

Indotel-ogoEsta actualización del marco normativo de la Ley 126-02 sobre Comercio Electrónico Documentos y Firmas Digitales se ha desarrollado para modernizar el mercado de servicios electrónicos de confianza de la República Dominicana y para adaptarlo al surgimiento de nuevas tecnologías, de forma tal que sean instrumentos realmente eficientes para la aplicación de los distintos agentes involucrados en la prestación de estos servicios electrónicos.

Por decisión del regulador, la citada normativa está específicamente alineada con las mejores prácticas internacionales en la materia, tomando como referencia el modelo europeo para la prestación de servicios electrónicos de confianza, definido en el Reglamento (UE) N.º910/2014 del Parlamento Europeo y del Consejo, de fecha 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (habitualmente denominado eIDAS) y en los estándares técnicos establecidos en los organismos de normalización como el Instituto Europeo de Normas de Telecomunicación (ETSI) y el Comité Europeo de Normalización (CEN).

Junto con el interés por aprovechar el desarrollo de estándares de la Unión Europea, el nuevo modelo regulatorio enfatiza también su compatibilidad  con otros estándares regionales impulsados por organizaciones como el Foro de Autoridades de Certificación y Programas de Exploración de Internet (CA/B Forum en inglés), que coordina la evolución de los certificados para sitio web de confianza pública, según los tipos acuñados de validación de dominio, validación de organización y validación extendida.

Se espera que la adopción de este nuevo modelo regulatorio,  favorezca  la interoperabilidad internacional, para lo que crea una implementación normativa de referencia que podría estudiarse por otros países, latinoamericanos o no, para facilitar la aplicación del artículo 14 del Reglamento EIDAS y por tanto el establecimiento de listas TSL no solo europeas sino globales.

En resumen, la norma publicada permite a la República Dominicana:

  • Ampliar el espectro de servicios de certificación digital que hasta a fecha contemplaba la normativa vigente, para incluir los que se detallan en el Reglamento europeo eIDAS, por ejemplo, servicios de confianza cualificados de: creación de firmas y sellos electrónicos a partir de certificados cualificados y dispositivos de creación de firmas cualificados, o servicios electrónicos de entrega cualificados;
  • La ubicación e instrumentación de listas de confianza TSL de prestadores nacionales que, una vez serán cursado el procedimiento previsto en el artículo 14 del Reglamento europeo eIDAS podrán ser incluidos en la lista de confianza europea, con un mecanismo de reciprocidad;
  • El reconocimiento mutuo de prestadores cualificados de confianza europeos y prestadores de servicios de confianza dominicanos, consecuencia del procedimiento del artículo 14 citado.;
  • Ampliar los servicios de confianza a otros como: servicio cualificados de validación y conservación de firmas cualificadas; servicios cualificados de sellos electrónicos,  y los servicios de certificados para la autenticación de sitios web, etc.; y
  • Aumentar la competitividad de las entidades dominicanas de confianza digital favoreciendo su posicionamiento en mercados como los europeos y abriendo los servicios de confianza a un mercado mayor.

Algunos de los aspectos contemplados en la norma son:

  • La posibilidad de desarrollar sistemas de identificación remota, por ejemplo los basados en videoconferencia o videograbación.
  • La posibilidad de prestar servicios de firma y sello electrónicos a distancia, bajo control del firmante o del titular del sello electrónico
  • La posibilidad de que la evaluación de conformidad la pueda realizar un organismo de evaluación de conformidad acreditado por el ODAC (Organismo Dominicano de Acreditación) admitiendo entidades acreditadas por otros organismos de acreditación como los europeos, sin perjuicio de la capacidad inspectora y de auditoría del propio INDOTEL.

En consecuencia, la aprobación de la Resolución No. 071-19 se suma a los desarrollos normativos previos del INDOTEL que siempre han buscado el desarrollo e impulso del comercio electrónico a nivel de la República Dominicana, y que además auspicia un régimen de reconocimiento mutuo entre estados y una mayor interoperabilidad entre prestadores de servicios de confianza a nivel internacional, colaborando en la  armonización de las normas jurídicas y técnicas de los servicios de confianza.

Desde Europa se ve este desarrollo normativo como un gran paso para la interoperabilidad global, y como ejemplo para otros países.

Referencia:

Artículo de D. Cesar Moliné publicado en LinkedIn.

 

Jornada ‘Tecnologías Emergentes, ciberseguridad y Blockchain’ en el Senado


El pasado 24 de octubre de 2019 se celebró en el Senado la II Jornada Tecnológica sobre Tecnologías Emergentes, Ciberseguridad y Blockchain, que ha organizado la Fundación Big Data

Durante la jornada se ha hablado acerca de la estrategia en Blockchain tanto en España como en la Comunidad Europea y su relación con la Ciberseguridad con el fin de implantar de forma coherente y estructurada acciones de prevención, defensa, detección y respuesta frente a las ciberamenazas.

El acto se ha celebrado en la sala Manuel Giménez Abad y se ha transmitido en streaming desde la página web de la Cámara Alta.

El Secretario Segundo del Senado, D. Rafael Antonio Hernando Fraile, ha sido el encargado de la apertura de la jornada.

Han intervenido en el acto ponentes destacados de primer nivel:

  • Jaime Sánchez Revenga, Presidente Director de la Fábrica Nacional de Moneda y Timbre‐Real Casa de la Moneda (FNMT);
  • Javier González Marcos, Vice President Executive Partner, Gartner Executive Programs;
  • Fabio Chesini, Gartner Research Director Banking;
  • Ángel Laín Caba, Director de Sistemas de información FNMT;
  • Jesús Fernández, Teniente Coronel. Unidad de Ciberterrorismo de la Guardia Civil;
  • José Ángel Alonso López, Director TIC del Senado;
  • Miguel Ángel Amutio en representación de Fernando de Pablo Martín, Secretario General de Administración Digital;

La Fundación Big Data estuvo representada por su Vicepresidente, Fernando Martín Moreno y por su Presidente, Francisco Javier Antón Vique.

Francisco Javier Antón Vique, ha puesto de manifiesto la importancia de la formación en materias de tecnologías emergentes y ha destacado la contribución de la Fundación en la creación de casi 80 puestos de trabajo nuevos dirigidos al empleo juvenil. En su charla ha elaborado una radiografía acerca de cómo han evolucionado las compañías multinacionales durante los últimos años y cómo las compañías tecnológicas han desplazado a las empresas tradicionales de los primeros cinco puestos en cuanto a capitalización.

“La transformación digital ha dejado de ser una opción para convertirse en una obligación que puede venir dada por diferentes ramas: Big Data, BlockChain, IoT, Inteligencia Artificial, robótica o realidad aumentada. Esas son las tecnologías en torno a las que va a girar la estrategia del mundo empresarial durante los próximos años, por lo que su conocimiento y dominio deben pasar a ser una de las prioridades en cualquier corporación”, ha comentado Antón Vique.

El Presidente Director de la Fábrica Nacional de Moneda y Timbre‐Real Casa de la Moneda (FNMT), Jaime Sánchez Revenga, destacó que la FNMT sigue elaborando los productos tradicionales en papel que requieren autenticidad como las quinielas, loterías, etc. y, al mismo tiempo, se encuentra en la vanguardia de las tecnologías de identidad digital tanto de personas como de servidores y, de cara a las generaciones de jóvenes como los llamados millenials y generación Z, están trabajando en nuevos productos del futuro como el Blockchain.

Javier González Marcos, Vice President Executive Partner de Gartner Executive Programs,  destacó el cambio continuo en el que estamos inmersos y que uno de los retos más importantes es el de concienciar a los ejecutivos sobre la importancia de la ciberseguridad. Una disciplina que necesita “un millón y medio de profesionales”, que en ocasiones se deberán preparar a partir de una estrategia de “formación del personal interno de la organización”.

Un tema que hace reflexionar sobre las contradicciones del ser humano es el de la inteligencia artificial ya que, por un lado, ya la utilizamos para temas auxiliares como los mapas para deplazamientos y, por otro, la tememos ante la expectativa de que pueda acabar con ciertos
puestos de trabajo.

Las relaciones de confianza en la vida de las personas y su extrapolación al mundo del Blockchain han tratadas por Fabio Chesini, Gartner Research Director Banking, que ha reflexionado sobre como la aparición de Internet ha revolucionado el mundo de las relaciones personales. Comparando los modelos evolutivos de Internet que ha pasado de un modelo pseudoanárquico a ser regido por unas pocas grandes organizaciones ha extrapolado con referencia a anuncios recientes sobre el posible proceso de evolución de la gobernanza en Blockchain.

El Director de Sistemas de Información de la FNMT, Ángel Laín Caba, comentó el nuevo proyecto Blockchain que la FNMT está acometiendo para proporcionar futuros servicios a las Administraciones Públicas en consonancia con el proyecto europeo cuya red estará operativa con 6 nodos durante el mes noviembre de 2019 y que prevé su implantación a principios del año 2010. En este proyecto europeo que contempla todo el ciclo Blockchain se desarrolla el «Customer Journey» de una persona virtual denominada «Eva», de nacionalidad belga, y que va a España a estudiar, lugar donde obtiene credenciales y crea una startup incluyendo las fases de constitución notarial y financiación.

La relación entre el Blockchain y la ciberseguridad en sus diversos aspectos como el hacktivismo, el ciberdelito, el ciberterrorismo, el ciberespionaje y la ciberguerra fueron los ejes de la intervención de Jesús Fernández, Teniente Coronel de la Unidad de Ciberterrorismo de la Guardia Civil, que puso énfasis en la necesidad de logra la concienciación de losciudadanos ante las amenazas a las infraestructuras críticas y los riesgos de desestabilizacion.

Miguel Ángel Amutio, Director de la División de Planificación y Coordinación de Ciberseguridad de la Secretaria General de Administración Digital comentó la importancia de las tecnologías emergentes para los ciudadanos. Destacó un reciente informe europeo que clasifica a España en las primeras posiciones en la adopción de la administración digital, y el despliegue de servicios pra los ciudadanos, si bien reconoción que queda margen de mejora, especialmente en competencias digitales, a nivel personal y como sociedad.

José Ángel Alonso López, Director TIC del Senado, realizó el resumen de la II Jornada Tecnológica, agradeciendo a los ponentes sus aportaciones.


La Fundación Big Data es una organización privada sin ánimo de lucro que tiene como misión fundamental impulsar la innovación tecnológica y contribuir al éxito de un modelo de crecimiento económico sostenible basado en el incremento de la competitividad y la productividad, la promoción de la igualdad social y regional, el diseño para todos y la mejora del bienestar y calidad de vida de los ciudadanos y las organizaciones de España e Hispanoamérica.

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Construyendo el futuro digital con #EIDAS


En un mundo globalizado y en plena transformación digital, la seguridad de las transacciones y las comunicaciones es más necesaria que nunca.

La gestión de la identidad digital y la preservación de evidencias electrónicas resuelve la digitalización de la última milla cartácea: esos aspectos que las entidades se resisten a gestionar digitalmente porque dudan de si serán capaces de ejercer el derecho a la prueba de otra forma que no sea en papel.

Recientemente InfoCert uno de los principales Prestadores de Servicios de Confianza Digital europeos y con sede en Italia ha entrado en el capital de Camerfirma, entidad que tuve el honor de dirigir hace 15 años, y que opera en directa colaboración con las Cámaras de Comercio.

Juntas, ambas entidades atesoran una oferta de servicios destinada a promover la Confianza Digital única en el mundo y una sólida presencia en diferentes mercados de diferentes continentes, lo que permite aventurar que se está formando un campeón de escala global con origen europeo.

Infocert-Camerfirma

El próximo 17 de Octubre 2018 a las 10:00 nos invitan en la Cámara de Comercio de España (C/Ribera del Loira 12, Madrid) a su presentación conjunta y con acompañamiento de relevantes personalidades relacionadas con la economía digital

La secretaria de Estado de Comercio, Xiana Méndez, y el responsable de Administración Electrónica y Confianza de la Comisión Europea, Andrea Servida, participarán en la jornada, bajo el título “Construyendo el futuro digital”, y a buen seguro nos actualizarán sobre el contexto de negocio digital promovido por el desarrollo del Reglamento UE 910/2014 (EIDAS).

En esta jornada se analizarán las oportunidades y retos que se plantean a las empresas en el marco del  Mercado Único Digital.

Para inscibirse, hay que acceder al sitio web de evento.

Trust Services Forum 2017


ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks