Archivo de la categoría: Cl@ve

Sistemas de identificación digital de otros países utilizables en España


Hace tres meses expliqué los pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa que están dando los países europeos, en el marco del Reglamento UE No 910/2014 (EIDAS), y que prevé el calendario de adopción siguiente:

eIDAS_timeline

Básicamente se trataba de difundir los sistemas de identificación (tarjetas chip semejantes al DNIe) que diferentes países habían notificado o estaban en proceso de notificar  a la Unión Europea como primer paso para su admisión en el resto de países para trámites de administración electrónica.

Los sistemas de identificación electrónica que han sido notificados deben ser reconocidos por los servicios públicos en el plazo de 12 meses desde la fecha de su publicación en el Diario Oficial de la UE (o el 29 de Septiembre de 2018 si el plazo es anterior).

En estos momentos solo hay un país cuyo sistema de identificación esté en estado “notificado“, mientras que varios otros en estado “pre-notificado“.

País: Alemania
Nombre del sistema: Sistema alemán de identificación electrónica basado en el control de acceso ampliado
Medios eID del sistema notificado:
–> Documento Nacional de Identidad
–> Permiso de residencia electrónico
Nivel de seguridad: Alto
Fecha de publicación de la notificación: 26 Septiembre 2017
Fecha de obligatorio reconocimiento: 29 Septiembre 2018
Publicación: 2017/C 319/03(Abre en nueva ventana)

Además de los atributos obligatorios (Identificador, Nombre, Apellido y Fecha de nacimiento) este esquema podría enviar los siguientes atributos opcionales:

  • Lugar de nacimiento,
  • Nombre y apellido al nacer,
  • Dirección actual.

Por tanto ya es admisible en España el  Sistema alemán de identificación electrónica.

Hay, además, 7 países (Italia, España, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) que están en estado de “pre-notificado”, es decir, han iniciado el proceso de notificación para que el resto de países puedan evaluar sus Sistemas de identificación electrónica.

Por lo que en breve los sistemas de identificación de 6 países (Italia, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) serán también admisibles en España.

Y en el mismo sentido, el DNI electrónico español será admisible en toda Europa

Desde la fecha de pre-notificación, deben pasar al menos 6 meses hasta que se efectúe la notificación.

Sistemas de identificación electrónica pre-notificados
País Nombre del Sistema Medios de eID del Sistema Atributos opcionales Fecha prenotificación
Italia SPID – Public System of Digital Identity. (Sistema Público de Identidad Digital) SPID Lugar de nacimiento, Dirección actual, Género 29 Nov 2017
España Documento Nacional de Identidad electrónico (DNIe) Documento Nacional de Identidad 20 Feb 2018
Luxemburgo Luxembourg national identity card (eID card). (Documento Nacional de Identidad de Luxemburgo) National Identity Card (Documento Nacional de Identidad) Lugar de nacimiento, Dirección actual, Género 26 Feb 2018
Estonia Estonian eID scheme (Esquema de eID de Estonia) ID card
RP card
Digi-ID
e-Residency Digi-ID
Mobiil-ID
Diplomatic identity card
27 Feb 2018
Croacia National Identification and Authentication System (NIAS). (Sistema Nacional de identificación y autenticación) Croatian personal identity card (eOI) (Documento de identidad personal croata) Lugar de nacimiento, Dirección actual, Género 28 Feb 2018
Bélgica Belgian eID Scheme FAS / eCards (Esquema eID de Bélgica) National Electronic Identity Card (Citizen eCard) Electronic Resident Card (Foreigner eCard) (Documento Nacional de Identidad electrónico y documento electrónico de residente extranjero) Lugar de nacimiento, Género 28 May 2018
Portugal Cartão de Cidadão
(Documento del ciudadano)
Portuguese national identity card (eID card)
(Documento Nacional de Identidad portugués)
Dirección actual, Género 30 May 2018
Chave Móvel Digital
(Clave móvil digital )
Digital Mobile Key
(Clave móvil digital)
Dirección actual, Género
Sistema de Certificação de Atributos Profissionais
(Sistema de Certificación de Atributos Profesionales)
Professional Attributes Certification System
(Sistema de Certificación de Atributos Profesionales)
Dirección actual, Género

 

Este artículo se basa en la noticia publicada en el Portal de Administración Electrónica “Sistemas de identificación electrónica notificados

Nuevo kit de Integración del sistema de gestión de identidad digital del estado “Cl@ve 2.0”


En España, el Centro de Transferencia de Tecnología (CTT) es la concreción del mandato del artículo 17 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica.

El Centro de Transferencia de Tecnología se encuentra recogido en el artículo 158 de la ley 40/2015.

El Centro de Transferencia de Tecnología es el directorio general de aplicaciones para su reutilización en la Administración General del Estado e interopera con los directorios establecidos por otras Administraciones Públicas.

El CTT acaba de anunciar el despliegue en el entorno de Servicios Estables de la versión 2 de Cl@ve, que permite la conexión con el nodo eIDAS español para la identificación digital de ciudadanos de la Unión Europea.

La generalización de nodos eIDAS en Europa permite que cada país que lo despliega pueda admitir sistemas de identidad digital de otros países notificados a la Comisión Europea y también ayuda a que en otros países se admitan los sistemas de identidad digital del país que lo implanta.

El nodo eIDAS español es uno de los que permiten el reconocimiento mutuo de identidades electrónicas en Europa.

El español facilita la aceptación del DNI electrónico en servicios de Administración Electrónica de otras administraciones europeas así como la identificación de ciudadanos europeos en servicios públicos españoles utilizando un medio de identificación de su país de origen.

Este nodo es el componente de interoperabilidad que se conecta con los servicios electrónicos y los sistemas de identificación nacionales, y con los nodos correspondientes de otros Estados miembros, y permite el reconocimiento de identidades electrónicas emitidas por otros países de acuerdo con el Reglamento eIDAS (UE) No 910/2014(Abre en nueva ventana) .

El nodo eIDAS español se basa en la implementación de referencia que la Comisión Europea ha desarrollado de las especificaciones técnicas que marca el reglamento, y utiliza un sistema de intercambio de mensajes conforme al estándar SAML 2.0. Este proyecto se apoya en el bloque de construcción de eID promovido por el mecanismo europeo CEF (Connecting Europe Facility) y en la experiencia adquirida en los proyectos europeos STORK y STORK 2.0 para facilitar un área única de identificación y autenticación electrónicas para Europa.

El nodo eIDAS actual implica la necesidad de adaptarse al nuevo esquema SAML introducido por el proyecto eIDAS, por lo que la nueva versión de Cl@ve introduce algunos cambios que requieren adaptación por parte de las aplicaciones.

La pasarela de Cl@ve 1.0 disponible hasta la fecha va a seguir activa y dando servicio a las aplicaciones ya conectadas y no se prevé el cese del servicio a medio plazo.

Sin embargo, se recomienda que las aplicaciones que deban hacer uso de la identificación europea a través del nodo eIDAS evolucionen a Cl@ve 2.0 y hagan uso de las nuevas librerías que se han publicado en el PAe (Portal de Administración Electrónica).

En un artículo anterior traté de los pasos que se están dando hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa, con la notificación de varios sistemas de identificación digital nacionales.

En el PAe se detalla el procedimiento de Alta en la gestión de identidad digital Cl@ve 2 y se incluye información importante para los integradores.

Seminario sobre Ley 39/2015 y Reglamento UE 910/2014


El 1 de julio de 2016 entra en vigor la parte más relevante del Reglamento UE 910 2014. Poco después, el 2 de octubre de 2016 entra en vigor una parte muy significativa de la Ley 39/2015 (hay también aspectos relevantes, de implantación más costosa que cuentan con un plazo mayor: 2 de octubre de 2018).

Sin embargo, a pesar de que muchos aspectos del Reglamento Europeo se han tenido en cuenta en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas (PACAP), otros no.

Por ejemplo lo referido a la firma electrónica de las personas jurídicas y de las entidades sin personalidad jurídica.

Dado que el citado Reglamento tiene un nivel de precedencia normativa superior a la Ley, puede ser útil identificar los aspectos más controvertidos para afrontar de forma correcta la adaptación.

Este seminario, que imparto a través de Atenea Interactiva en formato de formación “in-company” especialmente orientada a entidades del sector público lo voy enriqueciendo gracias a las dudas y a las aportaciones de los asistentes.

Estos son algunos de los aspectos tratados:

  • Identificación y autenticación. Nuevo contexto para trámites sin uso de la firma electrónica.
  • Interoperabilidad de la firma electrónica a nivel europeo.
  • Nuevas normas técnicas de identificación, firma electrónica, sello electrónico y otros servicios de confianza digital
  • Interacción con otras normas: Ley 18/2001, Ley 40/2015, Real Decreto Legislativo 3/2011.
  • Obligados. Nuevas obligaciones para personas jurídicas y ciertos colectivos profesionales.
  • Novedades en relación con el cómputo de plazos, y efecto en los plazos del Registro electrónico
  • Asistencia en el uso de medios electrónicos. Funcionarios habilitados
  • Uso de códigos seguros de veriicación. Sugerencia sobre CSV con informaicón de encaminamiento.
  • Sedes electrónicas y portales. Nuevo enfoque hacia la concentración de servicios en portales.
  • Copia auténtica de documentos y digitalización certificada. Gestión híbrida. Funcionarios habilitados
  • Archvo unificado
  • Poderes y representación. Nuevo poder “apud acta” electrónico. Retos para gestión de otorgamiento y revocación de poderes. Ideas para la implementación del registro elecrónico de poderes de representación. Otorgantes (representados) y apoderados (representantes).
  • Notificaciones. Retos de la notificación electrónica. Notificaciones por publicación en BOE.
  • Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
  • Herramientas disponibles en el marco de la transferencia electrónica entre administraciones. Cl@ve, DIR3, DNIe 3.0 (NFC).
  • Nuevos retos: firma digtalizada, digitalización certificada, cotejo interoperable de documento en base a  CSV en sede electrónica diferente de la que lo expidió.

Pueden contactar con Atenea Interactiva en el 917160555 si desean que este seminario se imparta en su institución. Se imparte en una sola jornada, de 9:00 a 14:30. Preferiblemente los viernes.

 

 

Adopción de la norma ISO / IEC 29115: 2013 e ITU X.1254 en el marco del Reglamento UE 910/2014 #eIdAS – #eIdaTS


La norma ISO / IEC 29115: 2013 – Entity Authentication Assurance Framework es esencial para el cumplimiento de diversas disposiciones legales, en particular el  Reglamento Europeo UE 910/2014 como referencia a los niveles de garantía de la identificación electrónica (LoA Levels of Assurance), y como referencia para los niveles de garantía identificadas que marquen la evolución del sistema Cl@ve, cuyo funcionamiento se encuentra regulado por la Orden PRE/1838/2014, de 8 de octubre, por la que se publica el Acuerdo de Consejo de Ministros, de 19 de septiembre de 2014, por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.

Esta norma se deriva de la norma ITU X.1254 : Entity authentication assurance framework

El nivel de garantía (Level of Assurance LoA) al que hace mención esta Norma Internacional se refiere a la confianza que merecen los procesos, las actividades de gestión y tecnologías utilizados para establecer y gestionar de forma efectiva  la identidad de una entidad para su uso en las transacciones de autenticación.

La Norma Internacional ISO / IEC 29115: 2013 ofrece una guía fundamental para la gestión de la garantía de la autenticación de entidad en un contexto dado. En particular, se centra en los:

  • Cuatro niveles de garantía de la autenticación de la entidad;
  • Criterios y directrices para y el logro de cada uno de los cuatro niveles de garantía de la autenticación de la entidad;
  • Orientación para la correspondencia de otros sistemas de garantía de autenticación a los cuatro niveles de garantía especificados ;
  • Orientación para el intercambio de los resultados de autenticación que se basa en los cuatro niveles de garantía ;
  • Orientación en cuanto a los controles que se deben utilizar para mitigar las amenazas relativas a la autenticación.

Utilizando los cuatro niveles especificados de garantía (LoAs), el documento presenta las pautas relativas a las tecnologías de control, los procesos y las actividades de gestión, así como los criterios de garantía de que se deben utilizar para mitigar las amenazas relativas a la autenticación con el fin de poner en práctica los cuatro niveles de garantía.

También proporciona una idea sobre la forma en que se corresponden otros sistemas de garantía de autenticación con los cuatro niveles especificados  en la norma y orientas obre la forma de intercambiar resultados de una transacción de autenticación. Por último, esta Norma Internacional proporciona orientación informativa relativa a la protección de la información de identificación personal asociado con el proceso de autenticación.

La norma ISO / IEC 29115: 2013 ayuda a lograr:

  • Establecimiento el servicio
  • Cumplimiento Legal y Contractual
  • Disposiciones financieras
  • Gestión de la seguridad de la información y de auditoría
  • Componentes de servicios externos
  • Métricas de capacidades operativas

La norma se destina  principalmente a proveedores de servicios de credenciales (CSP-Credential Service Providers) y a quienes tengan interés en sus servicios, por ejemplo las partes que confian, asesores y auditores de esos servicios.

Los niveles son los siguientes:

  1. LoA 1 – Garantía Baja – Low – Little or no confidence in the asserted identity
  2. LoA 2 – Garantía Media – Medium – Some confidence in the asserted identity
  3. LoA 3 – Garantía Alta–  High – High confidence in the asserted identity
  4. LoA 4 – Garantía Muy alta – Very high – Very high confidence in the asserted identity

El impacto de los errores de autenticación seá mínimo, moderado, sustancial o alto según el LoA requerido.

El modelo actual de Cl@ve todavía no contempla la estructura de 4 niveles de aseguramiento o de garantía, pero deberá evolucionar de forma que, en el futuro, pueda ser notificado como sistema de identificación y autenticación a la Comisión Europea, según lo definido en el Regla,emto UE 910/2014. Una vez que se de ese paso, el sistema de gestión de identidades español deberá ser asumido por el resto de países de la Unión Europea.

En la actualidad, el uso de las claves concertadas y los servicios de firma en la nube del servicio Cl@ve requiere que los ciudadanos se registren previamente en el sistema, aportando los datos de carácter personal necesarios. Este registro puede hacerse de manera presencial o telemática.

El registro presencial, inicialmente está limitado, de modo que actuan como Oficinas de Registro únicamente la red de oficinas de la Agencia Estatal de Administración Tributaria y de las Entidades Gestoras y Servicios Comunes de la Seguridad Social. En el futuro, se podrá ampliar la red de Oficinas de Registro con aquellos organismos públicos que dispongan de despliegue territorial y cumplan los requisitos técnicos necesarios establecidos por la Resolución de 28 de septiembre de la Dirección de Tecnologías de la Información y las Comunicaciones, por la que se establecen las condiciones para actuar como oficina de registro presencial del sistema Cl@ve .

En su rol de “broker de identidades” el sistema Cl@ve deberá evolucionar para incorporar en el futuro, conforme se vayan integrando en el sistema de reconocimiento transfronterizo de identidades electrónicas previsto en la citada regulación europea, mecanismos de identificación de otros países de la Unión Europea.