Archivo de la categoría: Conformity Assessment Body

Certificados de prueba #eIdAS para #PSD2


Hace ya algún tiempo traté sobre los certificados que se podrían usar en el contexto de PSD2, en el artículo “Directiva PSD2 y certificados #eIdAS de Proveedores de Servicios de Pago

Todavía antes (en 2017) traté temas técnicos (algunos controvertidos) de PSD2 en el artículo “Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards

PSD2-PI-AI-Card

Ahora ya hay más información y sabemos como se codificarán las Autoridades Nacionales Competentes en los certificados de los prestadores delos diferentes servicios definidos en PSD2:

i) Servicios de cuenta (PSP_AS) que proporcionan las entidades financieras actuales;
ii) Servicios de iniciación de pagos (PSP_PI) que proporcionarán nuevas entidades accediendo a las cuentas que sus clientes tienen en los proveedores de servicios de cuenta y ordenando transferencias en su nombre;
iii) Servicios de información de cuentas (PSP_AI) que proporcionarán nuevas entidades accediendo a las cuentas que sus clientes tienen en los proveedores de servicios de cuenta y recogiendo las transacciones de varias entidades para presentarlas al cliente de formas más interesantes o útiles;
iv) Servicios de expedición de instrumentos de pago basados en tarjetas (PSP_IC), para emisión de servicios equivalentes a tarjetas virtuales o adquirencia de transacciones de pago de tarjetas.

La lista de entidades es

Code Country Authority Title
AT-FMA Austria Austria Financial Market Authority
BE-NBB Belgium National Bank of Belgium
BG-BNB Bulgaria Bulgarian National Bank
HR-CNB Croatia Croatian National Bank
CY-CBC Cyprus Central Bank of Cyprus
CZ-CNB Czech Czech National Bank
DK-DFSA Denmark Danish Financial Supervisory Authority
EE-FI Estonia Estonia Financial Supervisory Authority
FI-FINFSA Finland Finnish Financial Supervisory Authority
FR-ACPR France Prudential Supervisory and Resolution Authority
DE-BAFIN Germany Federal Financial Supervisory Authority
GR-BOG Greece Bank of Greece
HU-CBH Hungary Central Bank of Hungary
IS-FME Iceland Financial Supervisory Authority
IE-CBI Ireland Central Bank of Ireland
IT-BI Italy Bank of Italy
LI-FMA Liechtenstein Financial Market Authority Liechtenstein
LV-FCMC Latvia Financial and Capital Markets Commission
LT-BL Lithuania Bank of Lithuania
LU-CSSF Luxembourg Commission for the Supervision of Financial Sector
NO-FSA Norway The Financial Supervisory Authority of Norway
MT-MFSA Malta Malta Financial Services Authority
NL-DNB Netherlands The Netherlands Bank
PL-PFSA Poland Polish Financial Supervision Authority
PT-BP Portugal Bank of Portugal
RO-NBR Romania National Bank of Romania
SK-NBS Slovakia National Bank of Slovakia
SI-BS Slovenia Bank of Slovenia
ES-BE Spain Bank of Spain
SE-FINA Sweden Swedish Financial Supervision Authority
GB-FCA United Kingdom Financial Conduct Authority

Las URLS de las NCA (National Competent Authorities) Autoridades Naciones Competentes se ven en la siguiente lista:

Country Competent authority
Austria Financial Market Authority
Belgium National Bank of Belgium
Bulgaria Bulgarian National Bank
Croatia Croatian National Bank for credit institutions and Croatian Financial Services Supervisory Agency for investment firms
Cyprus Central Bank of Cyprus
Czech Republic Czech National Bank
Denmark Finanstilsynet
ECB (SSM) European Central Bank (SSM)
Estonia Financial Supervision Authority
Finland Finanssivalvonta (Fin-FSA)
France Autorité de contrôle prudentiel et de Resolution
Germany BaFin and Bundesbank
Greece Bank of Greece
Hungary Central Bank of Hungary
Iceland Financial Supervisory Authority
Ireland Central Bank of Ireland
Italy Banca d’Italia
Latvia Financial and Capital Market Commission
Liechtenstein Financial Services Authority
Lithuania Bank of Lithuania
Luxembourg Commission de Surveillance du Secteur Financier
Malta Malta Financial Services Authority
Netherlands De Nederlandsche Bank
Poland Polish Financial Supervision Authority
Portugal Banco de Portugal
Romania National Bank of Romania
Slovakia National Bank of Slovakia
Slovenia Bank of Slovenia
Spain Banco de España
Sweden Finansinspektionen
UK Prudential Regulation Authority and Financial Conduct Authority

Con la novedad de que ya se pueden introducir guiones en el campo organizationIdentifier que mencioné en el artículo “Resuelto uno de los frenos a los certificados cualificados de PSD2” ya se pueden emitir certificados cualificados extended validation para las diferentes entidades que operan en el despliegue de PSD2.

Algunos Prestadores de Servicios de Certificación ya se están preparando para emitirlos (inicialmente, certificados de prueba) y en TCAB ya estamos listos para auditarlos. Llámenos al  91 388 0789

Resuelto uno de los frenos a los certificados cualificados de PSD2


EIDAS-CAB-forumEl CAB Forum ha aprobado una modificación del documento “Extended Validation Guidelines” para permitir incluir guiones en el campo rganizationIdentifier (OID 2.5.4.97) de los certificados EV, con lo que los certificados expedidos en el contexto de la norma ETSI TS 119 495 ya no serán incompatibles con las comprobaciones que realizan los navegadores. De esta forma se podrán expedir certificados QWAC para entidades financieras y otras entidades que operan en aplicación de la Directiva (UE) 2015/2366 llamada Segunda Directiva de Pagos (PSD2).

La propuesta SC17 se ha aprobado con 23 votos favorables de entidades emisoras de certificados y 6 de las entidades desarrolladoras de navegadores (comprobadores de certificados).

Votos a favor:

  • Emisores:  Actalis, Buypass, Camerfirma, Certigna (DHIMYOTIS), Certum (Asseco), Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, DigiCert, eMudhra, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy,  SHECA, SSC, SecureTrust (anteriormente Trustwave), TurkTrust.
  • Comprobadores: Apple, Cisco, Google, Microsoft, Mozilla, 360

1 Abstención (Emisores): TrustCor

Con este resultado, se permite la inclusión de información adicional en los certificados EV para cumplir con ciertas regulaciones de la Unión Europea.

La motivación argumentada que dio lugar a la solicitud que se ha votado fue:

  • El Reglamento de la Unión Europea Nº 910/2014 (eIDAS)  define ciertos requisitos reglamentarios para los certificados con un nivel de calidad acordado denominado “Cualificado”. Este reglamento especifica en el Anexo IV los requisitos específicos para “Certificados cualificados para la autenticación de sitios web”, incluida la declaración de que el certificado contendrá: “para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
  • Se entiende que este requisito se relaciona con los atributos validados para la identificación del sujeto del certificado y, por lo tanto, se ajusta mejor al nombre distinguido del sujeto (subject’s distinguished name).
  • En línea con el marco regulatorio, ETSI ha definido una estructura general para llevar “números de registro” en la norma TS 119 412-1 (en la actualidad EN 319 412-1). Ver cláusula 5.1. 4. En ella se utiliza el identificador de organización (organizationIdentifier) de la norma  X.520 dentro del nombre distinguido del  sujeto el propósito de servir como “identificación de una organización diferente del nombre de la organización”. Esto se utiliza para los requisitos de ETSI para llevar los números de registro para certificados, cualificados o de otro tipo.
  • Se considera que este uso de organizationIdentifier es compatible con el propósito principal de los certificados de EV como se indica en la sección 2.1.1 de las Directrices de EV como “otra información desambiguadora”.
  • Un reciente Reglamento delegado de la UE 2018/389 sobre comunicaciones seguras para servicios de pago establece en el artículo 34.2 que para los Certificados de sitio web cualificados (QWAC), el número de registro requerido en eIDAS “será el número de autorización del proveedor de servicios de pago (…) o equivalente [referencia hecha a regulaciones anteriores relacionadas con entidades financieras]”.
  • ETSI ha especificado los requisitos de la norma TS 119 495 para incluir los números de registro relacionados con PSD2 en la estructura general para los números de registro definidos en la citada norma TS 119 412-1 en su cláusula 5.1 .4
  • ETSI se ha esforzado por garantizar y siempre ha intentado que los requisitos relacionados con los certificados de sitios web en el nivel Calificado estén en línea con las pautas de Extended Validation de CA / B Forum.
  • Esta propuesta solo incluye algunos de los Esquemas de registro utilizados en la norma ETSI TS 119 412-1, que tienen reglas de validación claras (NTR, IVA, PSD) que brindan una seguridad razonable de acuerdo con las “EV Guidelines”. Se propone que los IPR (intellectual property rights) para la semántica de este esquema se cedan al CA / B Forum, lo que le permitirá extender aún más el uso del Identificador de la organización (organizationIdentifier) para incluir otros Esquemas de registro (por ejemplo, LEI, Legal Entity Identifier) y las reglas de validación correspondientes, a discreción del CA / B Forum.  Además, cualquier cambio futuro realizado por ETSI a la norma ETSI TS 119 412-1 ya no tendrá impacto adicional en CA / B Forum.
  • Al tomar conciencia de que la interpretación del CA / B Forum de los “Requisitos de EV” en la sección 9.2.8 “Otros Atributos” no estaba en línea con la forma de entenderlos por los expertos de ETSI, este organismo desearía armonizar su interpretación con la de CA / B Forum para reflejar en los certificados diferentes formas de establecer números de registro para PSD2 y otros esquemas de identificación alfanumérica de entidades.

Por otro lado, las preocupaciones específicas del CA / B Forum eran:

  • Los requisitos con respecto a los atributos que se han de incluir en el DN (Distinguished Name) del sujeto deben recogerse de forma explícita en el apartado 9.2.
  • Las organizaciones pueden desear identificar las unidades organizativas dentro de su organización. No está claro si esto está permitido actualmente en las Directrices de EV (ambigüedad similar a la de la sección 9.2.8).
  • Se han argumentado objeciones al uso específico de ETSI del campo Distinguished Name.
  • Los procedimientos para la validación del atributo deben estar claramente establecidos.
  • Puede haber otros usos del campo OrganizationIdentifier  en varias PKI, sin embargo, no se considera un problema. dado que la semántica única que se está especificando para cada identificador, las aplicaciones deben ser capaces de comprender los diferentes usos del campo organizationIdentifier  por diferentes emisores y usuarios. Hay muchas “PKI” diferentes que pueden usar todos los atributos de X.500 de manera diferente y con una validación diferente o sin ninguna validación. Según parece, el WebPKI no ha usado anteriormente este atributo de subjectDN antes para los Certificados de confianza pública (Publicly-Trusted Certificates). Por lo tanto, no hay “conflicto” al usar este atributo en las Directrices EV para Certificados SSL / TLS, y tal vez más adelante para Certificados de Firma de Código EV.
  • Este uso de OrganisationIdentifier debe ser extensible para permitir el uso de otros números de registro asignados por diferentes esquemas de registro. Algunos miembros de CAB Forum han expresado interés en incluir números de registro que no sean para identificar el tipo de sociedad dentro de Certificados EV. Esto está previsto en la propuesta actual.
  • Algunos miembros del CA / B Forum tienen interés en llevar incluir las identificaciones LEI dentro de los certificados del CA / B Forum, pero hasta ahora el esquema de registro LEI no se considera lo suficientemente extendido como para ser reconocido como un esquema de numeración de registro para ser aceptado por el CA / B Forum. Por lo tanto, esta propuesta solo introduce un conjunto limitado de esquemas de registro (a saber, NTR, IVA, PSD) que tienen reglas de validación razonablemente sólidas.
  • Algunos miembros del CA / B Forum han indicado la posible necesidad de múltiples identificadores en el campo “nombre del sujeto”. Sin embargo, esto no se puede lograr utilizando el campo definido en la norma X.520 organizationIdentifier que definió este atributo como “SINGLE VALUE”.

Los cambios aprobados, que se reflejarán el documento “EV Guidelines” son:

  • Agregar a la sección 4 las siguientes definiciones:
    Entidad legal: una organización privada, entidad gubernamental, entidad comercial o entidad no comercial.
    Referencia de registro: un identificador único asignado a una entidad legal (persona jurídica).
    Esquema de registro: un esquema para asignar una referencia de registro que cumple con los requisitos identificados en el Apéndice H. “
  • Cambiar el título de la Sección 9.2 para indicar”Campos de Nombre Distinguido del Sujeto” (Subject Distinguished Name Fields).
  • Eliminar la Sección 9.2.2 y renumerar las secciones 9.2.3 a 9.2.8 como 9.2.2 a 9.2.7.
  • Insertar una nueva sección 9.2.8:
    “9.2.8. Campo identificador de organización del sujeto
    ** Campo de certificado **: organizationIdentifier (OID: 2.5.4.97)
    ** Requerido / Opcional **: Opcional
    ** Contenido **: Si está presente, este campo DEBE contener una referencia de registro para una entidad legal asignada de acuerdo con el Esquema de registro identificado.
    El organizationIdentifier DEBE estar codificado como PrintableString o UTF8String (ver RFC 5280).
    El Esquema de Registro DEBE identificarse utilizando la siguiente estructura en el orden presentado:
    * Identificador de esquema de registro de 3 caracteres;
    * Se utilizará el código de país ISO 3166 de 2 caracteres para la nación en la que opera el Esquema de Registro, o si el esquema se opera globalmente, se utilizará el código ISO 3166 “XG”
    * Para el identificador del Esquema de Registro NTR, si es requerido bajo la Sección 9.2.4, un identificador ISO 3166-2 de dos caracteres para la subdivisión (estado o provincia) de la nación en la que opera el Esquema de Registro, precedido por el signo más “+” ( 0x2B (ASCII), U + 002B (UTF-8));
    * un guión (signo menos) “-” (0x2D (ASCII), U + 002D (UTF-8));
    * Referencia de registro asignada de acuerdo con el Esquema de Registro identificado.Nota: las Referencias de Registro PUEDEN contener guiones, pero los Esquemas de Registro, los códigos de país ISO 3166 y los identificadores ISO 3166-2 no PUEDEN contenerlos. Por lo tanto, si aparece más de un guión en la estructura, el guión más a la izquierda es un separador, y los guiones restantes forman parte de la Referencia de Registro.Como en la sección 9.2.4, la información de ubicación especificada DEBE coincidir con el alcance del registro al que se hace referencia.Ejemplos:
    * NTRGB-12345678 (esquema NTR, Gran Bretaña, cuyo identificador único a nivel de país es 12345678)
    * NTRUS + CA-12345678 (Esquema NTR, Estados Unidos – California, cuyo identificador único a nivel estatal es 12345678)
    * VATDE-123456789 (Esquema de IVA o CIF, Alemania, cuyo Identificador único a nivel de país es 12345678)
    * PSDBE-NBB-1234.567.890 (Esquema de PSD2, Bélgica, con identificador de la NCA (National Competent Authority) por sus siglas NBB, y con identificador único del sujeto asignado por la NCA formado por la secuencia 1234.567.890)

    Los esquemas de registro enumerados en el Apéndice H se reconocen actualmente como válidos bajo estas pautas (“Guidelines”).

    La CA DEBE:
    1. confirmar que la organización representada por la Referencia de Registro es la misma que la organización nombrada en el campo de organización como se especifica en la Sección 9.2.1 dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4;
    2. Verificar además que la Referencia de registro coincida con otra información verificada de acuerdo con la sección 11;
    3. Tomar las medidas adecuadas para desambiguar entre diferentes organizaciones como se describe en el Apéndice H para cada Esquema de Registro;
    4. Aplicar las reglas de validación relevantes al Esquema de Registro como se especifica en el Apéndice H. “

  • Insertar nueva sección 9.8 (renumerar las siguientes secciones según sea necesario):
    9.8. Extensiones de Certificado
    Las extensiones enumeradas en la Sección 9.8 se recomiendan para la máxima interoperabilidad entre los certificados y los navegadores / aplicaciones, pero no son obligatorias en las CA, excepto cuando se indica como “Requerido”. Las CA pueden usar otras extensiones que no están enumeradas en esta Sección 9.8, pero se les recomienda que propongan su inclusión en esta sección de vez en cuando para ayudar a aumentar la estandarización de la extensión en toda la industria.Si una CA incluye una extensión en un certificado que tiene un campo de Certificado que se menciona en esta Sección 9.8, la CA debe seguir el formato especificado en esa subsección. Sin embargo, ninguna extensión o formato de extensión será obligatorio en una CA a menos que se indique específicamente como “Requerido” en la subsección que describe la extensión.9.8.1. Extensión del nombre alternativo del sujeto (Subject Alternative Name Extension)
    ** Campo del certificado: ** _subjectAltName: dNSName_
    ** Requerido / Opcional: ** Requerido
    ** Contenido: ** Esta extensión DEBE contener uno o más nombres de dominio de host que sean propiedad o estén controlados por el sujeto y que estén asociados con el servidor del sujeto. Dicho servidor PUEDE ser propiedad y operado por el Sujeto u otra entidad (por ejemplo, un servicio de alojamiento). Los certificados comodín no están permitidos para los certificados EV.9.8.2. Campo de identificador de organización del foro de CA / navegador
    ** Nombre de la extensión **: _cabfOrganizationIdentifier_ (OID: 2.23.140.3.1)
    ** OID detallado **: {joint-iso-itu-t (2) international-Organizations (23) ca-browser-forum (140) extensiones de certificado (3) cabf-organization-identifier (1)}
    ** Requerido / Opcional **: Opcional (pero ver más abajo)
    ** Contenido **: Si el asunto: organizationIdentifier está presente, este campo DEBE estar presente.

    A partir del 31 de enero de 2020, si está presente el campo sujeto: organizaciónIdentificador, este campo DEBE estar presente.
    Si está presente, este campo DEBE contener una Referencia de Registro para una entidad legal asignada de acuerdo con el esquema de registro identificado.

    El esquema de registro DEBE estar codificado como se describe en la siguiente gramática ASN.1:

    id-CABFOrganizationIdentifier OBJECT IDENTIFIER ::= 
    { joint-iso-itu-t(2) international-organizations(23) 
    ca-browser-forum(140) certificate-extensions(3) 
    cabf-organization-identifier(1) }
    
    ext-CABFOrganizationIdentifier EXTENSION ::= 
    { SYNTAX CABFOrganizationIdentifier IDENTIFIED BY 
    id-CABFOrganizationIdentifier }
    
    CABFOrganizationIdentifier ::= SEQUENCE {
    
    registrationSchemeIdentifier   PrintableString (SIZE(3)),
    
    registrationCountry            PrintableString (SIZE(2)),
    
    registrationStateOrProvince    [0] IMPLICIT PrintableString OPTIONAL (SIZE(0..128)),
    
    registrationReference          UTF8String
    
    }
    

    donde están los subcampos y tienen los mismos significados y restricciones descritos en la Sección 9.2.8. La CA DEBE validar el contenido utilizando los requisitos de la Sección 9.2.8 “.

  • Añadir nuevo Apéndice H – Esquemas de registro
    “Los siguientes esquemas de registro se reconocen actualmente como válidos según estas pautas:** NTR **: La información incluida en este campo será la misma que se guardó en el campo Número de registro del sujeto como se especifica en 9.2.5 y el código de país utilizado en el identificador del esquema de registro coincidirá con el de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.
    Cuando la Jurisdicción de constitución de la entidad o el Campo de Registro en 9.2.4 incluya más que el código del país, la información de localidad adicional se incluirá como se especifica en las secciones 9.2.8 y / o 9.8.1.** IVA **: Referencia asignada por las autoridades fiscales nacionales a una entidad jurídica. Esta información se validará utilizando la información provista por la autoridad fiscal nacional contra la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el campo del número de registro del sujeto (ver 9.2.5) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.

    ** PSD **: Número de autorización especificado en ETSI TS 119 495, cláusula 4.4, asignado a un proveedor de servicios de pago y que contiene la información especificada en ETSI TS 119 495 cláusula 5.2.1. Esta información SE DEBE obtener directamente del registro de la autoridad nacional competente para servicios de pago o de una fuente de información aprobada por una agencia gubernamental, organismo regulador o legislación para este propósito. Esta información DEBE validarse comparándola directa o indirectamente (por ejemplo, haciendo coincidir un número de registro único global) con la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el Campo del número de registro del sujeto (ver 9.2.5). ) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4. La dirección indicada de la organización combinada con el nombre de la organización NO SERÁ la única información utilizada para desambiguar la organización “.

Norma del CCN para firma en la nube


CCN-CertificacionLos dispositivos cualificados de creación de firma son necesarios para producir firmas electrónicas y sellos electrónicos cualificados en el contexto del Reglamento 910/2014 (EIDAS).

Dada la lentitud del proceso de publicación en el seno del CEN (Comité Europeo de Normalización) de las normas de evaluación de conformidad de dispositivos cualificados de creación de firma que promovía el Reglamento EIDAS, en su artículo 30, en 2016 el Centro Criptológico Nacional (CCN) impulsó la publicación de una norma propia a lo que le autorizaba el propio artículo 30 en su apartado 3-b.

En efecto, el artículo 30 en su apartado 1 indica:

La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

Y en su apartado 3

La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo

(…)

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En abril de 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Sin embargo, esta norma solo hacía mención al marco de evaluación Common Criteria (ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 y a la norma de perfiles de protección de dispositivos seguros de creación de firma EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma, Partes 1 a 6), que pasaba de puntillas sobre los requisitos de firma en la nube (limitado a la parte  EN 419 211-5).

En base a la Directiva 1999/93/CE se había publicado en julio del año 2003 la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo que permitía contar con dispositivos seguros de creación de firma mientras evolucionaba el marco de normas técnicas de evaluacón de conformidad.

Dado el interés de algunas entidades españolas en certificar dispositivos cualificados de creación de firma (necesarios, por ejemplo, para finalizar el proyecto de DNI en la nube) el Centro Criptológico Nacional publicó en enero de 2017 la norma IT-009 -Remote Qualified Electronic Signature Creation Device Evaluation Methodology.

Esta norma se publicó al amparo del apartado 3-b del artículo 30 de EIDAS:

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

(…)

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

El documento recoge lo esencial de las normas técnicas en estado borrador en ese momento y posicionó a España en la punta de lanza de la evaluación de conformidad. Debe agradecerse al CCN esta labor proactiva que redunda en la competitividad de las empresas españolas del sector de la seguridad.

Por parte de TCAB (Trust Conformity Assessment Body) fué un privilegio el que pudiéramos colaborar en los trabajos preparatorios previos a la publicación de la norma.

Nueva lista de CABs (Conformity Assessment Bodies) en Europa


A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Adobe incorpora la lista de confianza de la Unión Europea


En el contexto de las firmas electrónicas, la lista de confianza de la Unión Europea (European Union Trusted List, EUTL) es una lista de enlaces que enganchan con las listas de confianza (Trust-Service Status list, TSL) de cada uno de los países miembro, lo que, en conjunto, significa que se construye una lista pública de más de 200 proveedores de servicios electrónicos de confianza (Trust Services Provider, TSP) que están específicamente evaluados y certificados para merecer los niveles más altos de confianza en base a la normativa europea de firma electrónica y servicios de confianza denominada eIDAS (Reglamento UE 910/2014).

Estos proveedores ofrecen identificaciones digitales basadas en certificados para las firmas electrónicas de las personas físicas, para los sellos electrónicos de  las personas jurídicas y para servicios de sellado de tiempo que se pueden usar para crear firmas electrónicas cualificadas (Qualified Electronic Signature, QES) basadas en tecnología de firma digital.

En eIDAS, y por tanto en todos los países de la Unión Europea, las firmas cualificadas son legal y automáticamente equivalentes a las firmas manuscritas y se reconocen automáticamente como válidas en las transacciones transfronterizas.

En cada estado miembro de la UE existe un organismo supervisor (Supervisory Body, SB) que supervisa a los proveedores en su propio país, y puede haber un organismo de acreditación (Accreditation Body, AB) que certifica a los organismos de evaluación (Conformity Assessment Body, CAB). Los CAB evalúan a los prestadores de servicios electrónicos de confianza (TSP) y emiten un informe de evaluación (Conformity Assessment Report, CAR) que los TSP envian a su SB. Cuando el SB comprueba el CAR, aprueba la inclusión del TSP en la TSL nacional, por lo que automáticamente está disponible desde la EUTL.

De esta forma, una vez que se ha aprobado un TSP en un país, sus servicios pueden ofrecerse en otros países de la UE con el mismo nivel de validez legal.

Adobe es el primer proveedor mundial que ofrece soporte integral en sus productos para la EUTL.  A continuación se recoge un resumen de los TSP incluidos en las listas de la EUTL. Las firmas realizadas con certificados expedidos por estos TSP se indican como válidas en los productos de Adobe, tanto para realizar firmas y sellos electrónicos como para comprobarlos.

Entre los productos de Adobe que han adoptado la EUTL están Adobe Acrobat Reader DCAdobe Acrobat DC, or Adobe Sign.

Recordemos  que con el producto gratuito  Adobe Acrobat Reader DC, además de poder visualizar documentos en formato PDF se pueden realizar en ellos firmas cualificadas con los certificados de los que disponga el usuario.

El uso de la EUTL se añade a la tradicional AATL (Adobe Approved Trusted List) que Adobe ya gestionaba históricamente.

Lista de Prestadores electrónicos de confianza cualificados, por paises

AT – Austria

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
A-Trust Gesellschaft für Sicherheitssysteme imelektronischen Datenverkehr GmbH
e-commerce monitoring GmbH
PrimeSign GmbH
Bundesamt für Eich- und Vermessungswesen*
Datakom Austria GmbH*

BE – Belgium

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Society for Worldwide Interbank Financial Telecommunication SCRL
Portima s.c.r.l. c.v.b.a.
Certipost n.v./s.a.
QuoVadis Trustlink BVBA
Zetes S.A./N.V.

BG – Bulgaria

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
BORICA – AD
InfoNotary PLC
Information Services Plc.
Evrotrust Technologies JSC
Bankservice PLC*
System for electronic payments Bulgaria/ SEP Bulgaria JSC*
Spektar JSC*

CZ – Czech Repubic

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
First certification authority, a.s.
The Czech Post, s.p.
eIdentity a.s.

DE – Germany

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Deutsche Rentenversicherung Bund
Deutsche Rentenversicherung Westfalen
Bundesagentur fuerArbeit
Bundesnotarkammer
Deutsche Rentenversicherung Rheinland
D-Trust GmbH
DGN Deutsches Gesundheitsnetz Service GmbH
Deutsche Telekom AG
Deutscher Sparkassen Verlag GmbH
medisign GmbH
exceet Secure Solutions GmbH
DATEV eG*
Deutsche Post Signtrust und DMDA GmbH*
TC TrustCenter GmbH*
exceet Secure Solutions AG*
Deutsche Post Com GmbH*

EE – Estonia

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
SK ID Solutions AS
GuardTime AS*

EL – Greece

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
HELLENIC PUBLIC ADMINISTRATION CERTIFICATION AUTHORITY
ADACOM ADVANCED INTERNET APPLICATIONS S.A.
ATHENS STOCK EXCHANGE S.A.
BYTE Computer S.A.
GREEK ACADEMIC NETWORK

ES – Spain

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
COLORIURIS, S.L
Banco Santander, S.A.
Dirección General de la Policía
Agencia Notarial de Certificación S.L. Unipersonal
Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda (FNMT-RCM)
Consorci Administració Oberta de Catalunya – CAOC
ANF AUTORIDAD DE CERTIFICACIÓN ASOCIACIÓN ANF AC
Consejo General de la Abogacía Española
Instituto Valenciano de Finanzas
AC Camerfirma, S.A
Colegion Oficial de Registradores de la Propiedad y Mercantiles de España
EDICOM CAPITAL, S.L.
Ziurtapen eta Zerbitzu Enpresa-Empresa de Certificación y Servicios, Izenpe, S.A.
Firmaprofesional, S.A.
Tesorería General de la Seguridad Social
Ministerio de Empleo y Seguridad Social
Consejo General de Colegios Oficiales de Médicos de España (CGCOM)
SIGNE S.A.
SISTEMAS INFORMATICOS ABIERTOS SOCIEDAD ANONIMA
UANATACA, S.A
VINTEGRIS S.L.
AULOCE,S.A.U
Autoridad de Gestión de la PKI del Ministerio de Defensa (AGPMD) y Director del CESTIC. Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC)*
Banco Español de Crédito, S.A*
HEALTHSIGN, S.L.*
BANCO DE ESPAÑA*
Colegio de Ingenieros de Caminos, Canales y Puertos*
Servicio de Salud de Castilla-La Mancha (SESCAM)*

FI – Finland

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Population Register Centre

FR – France

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Click and Trust
Caisse des dépôts
Yousign
Agence Nationale des Titres Sécurisés
CertEurope
Certinomis SA
ChamberSign France
Cryptolog International (Universign)
Dhimyotis
Ministère de la Justice
DocuSign France
Ordre National des Experts-Comptables
Imprimerie Nationale
Conseil Supérieur du Notariat
Le groupe La Poste
Almerys*

HR – Croatia

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Financijska agencija
Agencija za komercijalnu djelatnost d.o.o.
Zagrebačka banka dioničko društvo

HU – Hungary

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Magyar Telekom Public Limited Company
Microsec Micro Software Engineering & Consulting Private Company Limited by Shares
NETLOCK Informatics and Network Privacy services Limited Company
Digitoll Information Technology and Servicing Ltd.
NISZ National Infocommunications Services Company Limited by Shares

IE – Ireland

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Post.Trust Ltd
Adobe Systems Software Ireland Ltd.

IS – Iceland

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Cloud Signature Consortium TSP
Audkenni ehf.

IT – Italy

Trust Service Provider Qualified Certificates for eSignatures Qualified Certficates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Intesi Group S.p.A.
ICBPI S.p.A.
Banca d’Italia
InfoCert S.p.A.
Actalis S.p.A.
Aruba Posta Elettronica Certificata S.p.A.
CEDACRI S.p.A.
Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili
Ministero della Difesa
Consiglio Nazionale del Notariato
I.T. Telecom S.p.A.
In.Te.S.A. S.p.A.
Intesa Sanpaolo Bank S.p.A.
Postecom S.p.A.
Banca Intesa S.p.A.
Sanpaolo IMI S.p.A.
Cedacrinord S.p.A.
IT Telecom S.r.l.
Namirial S.p.A.
Lombardia Informatica S.p.A.
NEXI S.p.A.
Telecom Italia Trust Technologies S.r.l.
Zucchetti S.p.A.
SECETI S.p.A.
SIA S.p.A.
SSB S.p.A.
Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili
Lombardia Integrata S.p.A. Servizi Infotelematici per il Territorio
Trustitalia S.p.A.
Certicomm
Infocamere SC.p.A.
Saritel S.p.A.
Poste Italiane S.p.A
Lottomatica
BNL Multiservizi S.p.A.*
Centro Tecnico per la Rete Unitaria Pubblica Amministrazione*
Consiglio Nazionale Forense*
Esercito Italiano Comando C4 IEW*
Monte dei Paschi di Siena Bank S.p.A.*
Banca di Roma S.p.A.*
Centro nazionale per l’informatica nella pubblica amministrazione*
Enel.it S.p.A.*
Finital S.p.A.*
Sogei S.p.A.*

LI – Liechtenstein

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
FLZ-Anstalt
SwissSign AG
Liechtensteinische Post AG*

LI – Lithuania

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
State Enterprise Centre of Registers
UAB Skaitmeninio sertifikavimo centras
Identity Documents Personalisation Centre under the Ministry of the Interior
UAB BalTstamp
Residents Register Service under the Ministry of the Interior*

LU – Luxembourg

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
LuxTrust S.A.
SeMarket Certification Authority S.A.*

LV – Latvia

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Latvian State Radio and Television center

MT – Malta

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Malta Electronic Certification Services Ltd
ANF AC Malta Ltd

NL – Netherlands

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Agentschap Centraal Informatiepunt Beroepen Gezondheidszorg
Digidentity B.V.
ESG de Electronische Signatuur B.V.
KPN B.V.
KPN Corporate Market B.V.
Ministerie van Defensie
Ministerie van Infrastructuur en Milieu
QuoVadis Trustlink B.V.
Getronics Nederland B.V.*
Diginotar B.V.*
Getronics Nederland B.V.*

NO – Norway

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Buypass AS
Commfides Norge AS
Danske Bank
Bankenes ID-tjeneste AS
DNB Bank ASA
Nordea Bank Norge ASA
Eika Gruppen AS
SpareBank 1 Banksamarbeidet DA
Statoil ASA
ZebSign AS*
Handelsbanken NUF*
SEB Privatbanken ASA*
Skandiabanken AB NUF*

PL – Poland

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Unizeto Technologies S.A.
Polish Security Printing Works
Krajowa Izba Rozliczeniowa S.A.
ENIGMA Systemy Ochrony Informacji Sp.z o.o.
EuroCert Sp. z. o.o.
Asseco Data Systems S.A.
MobiCert Sp. z o.o.*
Safe Technologies S.A.*
TP Internet sp. z o.o.*

PT – Portugal

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
ECCE
Cartão de Cidadão
Justica
MULTICERT – Serviços de Certificação Electrónica S.A.
British Telecommunications plc
DigitalSign – Certificadora Digital
ECAR*

RO – Romania

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Trans Sped SRL
DigiSign S.A.
CERTSIGN S.A.
AlfaTrust Certification S.A.
CENTRUL DE CALCUL SA

SI – Slovenia

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Ministrstvo za javno upravo
Republika Slovenija
HALCOM D.D.
NLB d.d.
POŠTA SLOVENIJE d.o.o.
Ministry of Defence of Slovenia
EIUS d.o.o.

SK – Slovakia

Trust Service Provider Qualified Certificates for eSignatures Qualified Certficates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
National Security Authority SK
Disig a.s.
Ministry of Defence Slovak Republic
The First Slovak Certification Authority
First certification authority, a.s.

UK – United Kingdom

Trust Service Provider Qualified Certificates for eSignatures Qualified Certificates for eSeals Qualified Time Stamps Non-Qualified Time Stamps Cloud Signature Consortium TSP
Exostar UK Limited
Royal Bank of Scotland*

Notas:

* Estas entidades ya no prestan servicios de certificación o de sello de tiempo cualificados pero los documentos firmados o sellados con certificados válidos de estas entidades en el momento de la firma se siguen dando por buenos en el marco de las soluciones de Adobe.

La información en la que se basa este artículo procede de “What is EUTL?” en el sitio web de ayuda de Adobe.

Conformity Assessment Bodies


Accreditation is the last level of public control in the European conformity assessment system.
It is designed to ensure that conformity assessment bodies (e.g. laboratories, inspection or certification bodies) have the technical capacity to perform their duties.
Used in regulated sectors and voluntary areas, accreditation increases trust in conformity assessment. It reinforces the mutual recognition of products, services, systems, and bodies across the EU.

How does accreditation work?

Accreditation of conformity assessment bodies is based on harmonised standards defining competence criteria for:

  • the national accreditation body and each category of conformity assessment body (such as laboratories or certification bodies)
  • sector-specific requirements
  • guidance drawn up by regional and international organisations of accreditation bodies

Organisation of accreditation in the EU

Requirements for accreditation are set in Regulation 765/2008. The Regulation promotes a uniformly rigorous approach to accreditation across EU countries. This consensus is normally reflected in a CERTIF document on a specific topic. As a result, an accreditation certificate is enough to demonstrate the technical capacity of a conformity assessment body.

The main principles of accreditation are:

  • 1 accreditation body per EU country (it is possible, however, to use another country’s national accreditation body). In Spain this accreditation body is ENAC.
  • accreditation is a public sector activity and a not-for-profit activity
  • there is no competition between national accreditation bodies
  • stakeholders are represented
  • accreditation is the preferred means of demonstrating technical capacity of notified bodies in the regulated area

The European accreditation infrastructure

National accreditation bodies are members of the European co-operation for accreditation (EA) that cooperates with the Commission. EA’s tasks include:

  • setting up and managing a peer evaluation system of national accreditation bodies
  • providing technical assistance to the Commission in accreditation

To provide a framework for cooperation:

  • in 2009, the Commission, the European Free Trade Association (EFTA), EU countries and EA signed general cooperation guidelines to mark their political commitment to working together
  • in 2014, the Commission and EA signed a framework partnership agreement (3 MB) for the period 2014-2017. This framework partnership agreement allows financial support for EA in fulfilling its tasks under the Regulation and meeting the objectives set out in the guidelines

Report on the implementation of the Regulation for accreditation and market surveillance

The report gives an overview of how the accreditation provisions of Regulation (EC) No 765/2008 and CE marking were implemented between 2013 and 2017. It confirms that the accreditation infrastructure created by the Regulation has provided added value, not only for the Single Market but also for international trade. The Regulation has established a trustworthy and stable accreditation system that has wide support from industry and the conformity assessment community. It ensures that products meet the applicable requirements, removes barriers for conformity assessment bodies and helps entrepreneurial activities to flourish in Europe.