Archivo de la categoría: eConfianza

Más pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa


En los últimos meses se observa un progreso notable hacia el reconocimiento mutuo de los esquemas de identificación electrónica en toda la Unión Europea. Cuatro países han realizado la notificación previa de sus esquemas de identificación electrónica: España, Luxemburgo, Estonia y Croacia, tras la la notificación previa de Italia en noviembre de 2017.

La notificación previa es el primero de tres pasos introducidos por el Reglamento (UE) n.º 910/2014 (EIDAS) sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno con el objetivo de generar confianza entre los Estados miembros y garantizar la interoperabilidad y la seguridad de los esquemas de identificación electrónica notificados.

Seis meses antes de la fecha en la que se pretende realizar la  notificación, los Estados miembros comparten información relacionada con sus esquemas de identificación electrónica, que incluyen: una descripción de la solución, información sobre el proveedor de identidad y el nivel estimado de aseguramiento de identidad, explicación sobre el régimen de responsabilidad atribuible a las autoridades en los potenciales incidentes, descripción del procedimiento para obtener y revocar una identificación electrónica y una descripción del proceso de autenticación en línea.

La información compartida por los Estados miembros contribuirá al proceso de revisión inter pares, permitiendo que el esquema de identificación electrónica se evalúe según los requisitos de calidad y seguridad establecidos por el Reglamento eIDAS.

El 20 de febrero de 2018, España realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos (DNI Electrónico) que presenta, en su última versión (3.0), un nuevo sistema operativo y un chip de doble interfaz. Esto permite que se realice la firma electrónica con dispositivo seguro de creación de firma (el chip) tanto usando un lector de tarjeta chip (mediante los contactos del chip) como mediante lectores NFC (por ejemplo los incluidos en los teléfonos móviles) en modo sin contacto. El DNIe es obligatorio para todos los ciudadanos españoles mayores de 14 años que residan en el país. La aceptación del e-DNI como medio de identificación es obligatoria para todos los servicios públicos electrónicos en España, ya sean nacionales, regionales y autonómicos o locales y también se puede utilizar para acceder a servicios privados en línea tales como operadores bancarios, de telecomunicaciones, etc.

eId1-anverso_DNI-e

El 26 de febrero de 2018, Luxemburgo realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos de Luxemburgo, que consiste en una tarjeta inteligente sin contacto. La tarjeta de identificación de Luxemburgo es obligatoria para todos los ciudadanos luxemburgueses mayores de 15 años que residan en el país. La activación de los certificados en la tarjeta de identificación nacional debe solicitarse específicamente cuando se obtenga. Los ciudadanos pueden usar este medio de identificación como una forma de acceder a los servicios en línea públicos y privados en Luxemburgo.

eId2-CNI_reference

El 27 de febrero de 2018, Estonia realizó la notificación previa de seis tipos de identificación electrónica estonia: la tarjeta de identificación, la tarjeta RP, la tarjeta de identidad diplomática, Digi-ID, e-Residency Digi-ID y Mobiil-ID. Los primeros tres medios son tanto documentos de identificación física como identidades digitales, mientras que los tres últimos son solo para identificación en línea. La tarjeta de identificación nacional es obligatoria para estonios mayores de 15 años. La identificación móvil es voluntaria, pero solo puede ser activada por los propietarios de una tarjeta nacional de dentificación electrónica. La solución móvil ha sido muy bien recibida por los ciudadanos, con una tasa de 12,2% de votantes que usan Mobile-ID.

eId3-Estonian_identity_card,_2007

El 28 de febrero de 2018, Croacia realizó la notificación previa de de su esquema de identificación electrónica, el Sistema Nacional de Identificación y Autenticación (NIAS,  National Identification and Authentication System) utilizando como identificación el documento de identidad personal croata (eOI). Los datos de identificación personal se imprimen en la tarjeta y se almacenan electrónicamente en el chip. El NIAS es parte del sistema de información del estado llamado e-Citizens que incluye el sistema del Portal del Gobierno Central (Gov.hr) que reúne todos los servicios públicos disponibles y el sistema de Carpeta de Usuario Personal (OKP).

eid4-Osobna_iskaznica_2015_-_prednja_strana

Por tanto, cinco países (si se incluye Italia) han iniciado recientemente un proceso de revisión por pares de tres meses, realizado de forma voluntaria por los Estados miembros que participan en la Red de Cooperación, al que seguirá la notificación formal. Se espera que en total seis esquemas de identificación electrónica (contando con la notificación de Alemania en septiembre de 2017) quedarán notificados en el marco del reglamento eIDAS antes del 29 de septiembre de 2018.

A partir de esta fecha,  todos los Estados miembros de la UE deberán reconocer los Sistemas de Identificación Electrónica (eID) notificados de otros Estados miembros para permitir el acceso al público de servicios en línea gubernamentales (administración electrónica) que ya admitan mecanismos de  identificación electrónica desplegados por el propio país.

Este artículo está basado en el publicado por la Unión Europea: Progress made towards mutual recognition of eID schemes in Europe

 

PSEC: Prestadores de Servicios Electrónicos de Confianza Registrados en el marco de #eIdAS


La denominación “Prestador de Servicios Electrónicos de Confianza” (PSEC) creada al amparo del recientemente vigente Reglamento UE Nº 910/2014, deja obsoletas las denominaciones anteriores:

Los nuevos Prestadores de Servicios Electrónicos de Confianza se clasifican en tres niveles:

  1. Servicios cualificados electrónicos de confianza, registrados en el registro de PSEC de la SETSI (no pueden existir servicios electrónicos de confianza cualificados no registrados).
  2. Servicios electrónicos de confianza no cualificados, registrados en el registro de PSEC de la SETSI.
  3. Servicios electrónicos de confianza no cualificados y no registrados en el registro de PSEC de la SETSI.

Los Prestadores Cualificados de Servicios Electrónicos de Confianza  son supervisados por los Organismos de Supervisión.  En España, el organismo de supervisión es la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), del Ministerio de Industria, Energía y Turismo (Minetur).

Los prestadores cualificados de servicios electrónicos de confianza deben ser auditados, al menos cada 24 meses, por un organismo de evaluación de conformidad (Conformity Assessment Body). La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

Los prestadores cualificados de servicios electrónicos de confianza deben enviar el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.

Los Prestadores de Servicios Electrónicos de Confianza Registrados  suponen una categoría especial en cuanto a la supervisión de los servicios por la SETSI, ya que que prestan o bien  servicios que no tienen la condición de servicio de confianza cualificado, o bien servicios que no encajan en las definiciones de servicio de confianza según el Reglamento (UE) 910/2014.

Por la cualidad de servicios Notificados a la SETSI (y por tanto, incluidos en el Registro de Prestadores), su información se  publica en la página web del Ministerio de Industria, Energía y Turismo, aunque el Ministerio de Industria, Energía y Turismo no comprueba la alineación de los correspondientes servicios a la legislación aplicable en materia de servicios de confianza antes de su publicación.

Los Prestadores Registrados pueden recibir apercibimientos y solicitudes de información de la SETSI, si esta recibe algún tipo de queja por parte de los usuarios de los servicios de confianza implicados.

Algunos servicios, como los de Digitalización Certificada, no suelen notificarse a la SETSI, por lo que cabría considerarlos como No Registrados, y por tanto, fuera del ámbito de actuación del organismo supervisor.

Actualización de la información de servicios de EADTrust en el web del Minetur


Ya se ha actualizado en la web del Ministerio de Industria, Energía y Turismo la información de prestadores de servicios de confianza digital relativa a EAD Trust, European Agency of Digital Trust.

EADTrust

Identificación


Nombre o Razón Social: EAD TRUST European Agency of Digital Trust, S.L.
CIF: B-85626240 Teléfono: 902365612
Domicilio Social: C/ Méntrida, 6, Madrid (Madrid) – 28043
Registro público: Registro Mercantil de Madrid: Tomo 26.403, Folio 63, Hoja M-475828 Insc: 1
Información comercial


Nombre Comercial: EADTrust
Dominio: www.eadtrust.net Teléfono: 902365612
e-mail: info@eadtrust.net
Domicilio: C/ Méntrida, 6, Madrid (Madrid) – 28043
Servicios


Otros servicios en relación con la firma electrónica- Servicios de validación temporal Otros servicios en relación con la firma electrónica- Servicios de validación temporal
Nombre: Servicio de sellado de tiempo
Otros servicios en relación con la firma electrónica- Servicios de validación de certificados Otros servicios en relación con la firma electrónica- Servicios de validación de certificados
Nombre: Servicio de validación de certificados
Otros servicios en relación con la firma electrónica- Servicios de custodia Otros servicios en relación con la firma electrónica- Servicios de custodia
Nombre: Custodia Digital (Cartulario)
Otros servicios en relación con la firma electrónica- Otros servicios Otros servicios en relación con la firma electrónica- Otros servicios
Nombre
  • Notificaciones fehacientes y comunicaciones electrónicas
  • Certificación de Publicaciones Comprobación fehaciente de páginas

 

Aplicabilidad del Reglamento Europeo UE 910/2014 (EIdAS)


A diferencia de la Directiva 93/1999 /CEE del Consejo, el Reglamento (UE)  nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (denominado reglamento eIDAS por las iniciales de Electronic Identificatiom Authentication and Signature) que entró en vigor el 17 de septiembre de 2014, tendrá un impacto directo y, en algunos casos,  supondrá la derogación de las leyes nacionales vigentes en los Estados miembros.

El Reglamento se aplicará gradualmente en los próximos meses con plazos de entrada en vigor escalonados que concluirán el 01 de julio 2016, con la derogación de la Directiva 93/1999 / CEE.

Desde su entrada en vigor el 17 de septiembre de 2014, ya son de aplicación las disposiciones contenidas en los artículos 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 y 48. El resto de las disposiciones, a excepción de los artículos 7, 8.1, 8.2, 9, 10, 11 y 12.1, que se aplicará a partir del 18 septiembre de 2015, deben ser implementadas a partir del 1 de julio de 2016. Sólo el  artículo 6 se aplicará a partir del 18 de septiembre 2018.

Desde 01 de julio de 2016 en adelante:

  • Los Dispositivos de Creación de Firma (denominados antes Dispositivos Seguros de Creación de Firma y ahora Dispositivos Cualificados de Creación de Firma) que tuvieran la consideración de tales según  el artículo 3.4  de la Directiva 93/1999 /CEE,  mantendrán su reconocimiento tras la nueva norma (Reglamento eIdAS).
  • Los certificados reconocidos expedidos a personas físicas de acuerdo con la Directiva 93/1999 /CEE se consideran hasta su vencimiento certificados cualificados de acuerdo con la nueva norma (Reglamento eIdAS).
  • Para ser considerados prestadores de servicios de confianza digital cualificados de acuerdo con el Reglamento eIDAS, los Prestadores de Servicios de Certificación que emitían  ​​certificados reconocidos de acuerdo con la Directiva 93/1999 / CEE deben presentar a partir del 01 de julio de 2017 un informe de evaluación sobre el cumplimiento de la normativa técnica y organizativa aplicable al órgano de supervisión (Minetur, en el caso de España).

La aplicación del Reglamento eIdAS, implica la puesta en marcha de 7 actos de ejecución que deben adoptarse en un  año:

  • 3 actos de ejecución relativos a la identificación y autenticación digital (eID)
  • 4 actos de ejecución en materia de servicios de confianza digital
    • Formatos de firma electrónica (artículo 27.4)
    • Formatos de sellos electrónicos (artículo 37.4)
    • Listas de confianza (artículo 22.5)
    • Marca de confianza de la UE (artículo 23.3)

En los más de 16 años de vigencia de la Directiva 93/1999 /CEE del Consejo, cada Estado miembro la ha desarrollado en su legislación nacional adoptando, en algunos casos normas técnicas de organismos como ETSI y CEN. En España, entre otras normas la Ley 59/2003, con disposiciones sobre firmas electrónicas en la Ley 11/2007 y en la Ley 18/2011.

El impacto revolucionario del Reglamento, sin embargo, cambia todos los paradigmas existentes anteriormente, que pueden considerarse los causantes de la falta de interoperabilidad transnacional en el mercado único europeo. El nuevo modelo, destinado a facilitarla, todavía tiene que demostrar su utilidad en un contexto internacional en el que los mayores avances se han producido a partir de la adopción de incoativas de la industria a través del CAB Forum, solo para el ámbito de los certificados para servidores web, en un modelo como en norteamericano de escasa regulación.

Se publican más borradores de las normas de ETSI sobre firma electrónica


Los pasados 16, 17 y 19 de febrero se han añadido en el servidor de ETSI un nuevo lote de documentos “drafts” (borradores) relativos al esfuerzo de normalización de la firma electrónica bajo el Mandato M460, necesario también para aplicar el Reglamento UE 910/2014.

El mapa descriptivo del nuevo modelo de normalización se describe en tr_119000v003-rationalised_framework_document_COMPLETE-draft.pdf

Están  abiertos a comentarios por parte de los especialistas, con la vista puesta en su mejora antes de que se publiquen como definitivos. Para enviar comentarios se puede usar la siguiente plantilla: Template-for-comments.doc

16 de febrero de 2015

17 de febrero de 2015

19 de febrero de 2015

La red temática Criptored cumple 15 años de vida, hoy 1 de diciembre


Un día como hoy hace quince años, el 1 de diciembre de 1999, comenzaba su andadura la primera red temática de habla hispana, Criptored, impulsada de forma incansable por su promotor Jorge Ramió.

Con tres lustros de existencia, su actividad y servicio ofrecido a la comunidad pueden resumirse en los siguientes datos, contrastables a fecha de hoy con un simple recorrido a través de su servidor web: 990 miembros de 255 universidades y empresas del sector de la seguridad TIC de 23 países, más de 1.600 visitas diarias con cerca de 1.500 documentos pdf y zip descargados cada día, más de 15.000 visualizaciones al mes de su documentación multimedia, 7 congresos de seguridad CIBSI y 2 Talleres de Enseñanza TIBETS organizados en Latinoamérica, así como la celebración de 5 congresos DISI con la Cátedra UPM Applus+ en Madrid.

En el apartado formación, un total de 209 alumnos han pasado por sus aulas virtuales en las 3 ediciones celebradas del curso Online de Seguridad Informática y Ciberdefensa, y casi medio millón de alumnos han participado en sus 4 cursos gratuitos del MOOC Crypt4you, pionero además en lengua hispana de esta modalidad de enseñanza abierta.

Los proyectos enciclopedia gráfica de la seguridad de la información Intypedia y píldoras formativas Thot, con centenas y decenas de miles -respectivamente- de visitas en el canal YouTube de la UPM, junto a otros vídeos producidos por Criptored como por ejemplo 46 de las 74 conferencias UPM TASSI, superan el millón de reproducciones y significan el 16,5% de todas las visualizaciones de dicho canal. Finalmente, este año 2014 ha visto la luz el proyecto MESI, Mapa de Enseñanza de la Seguridad de la Información, cuya versión 2.0 se publicará próximamente.

Todo ello ha significado que ya en noviembre de 2014 se supere por primera vez la cifra de 1 Terabyte anual de información servida. Unos números en los que la participación de sus miembros, de sus colaboradores directos y la excelente acogida por parte de los medios de difusión de la seguridad TIC en Internet, han sido fundamentales.

Visita:
http://www.criptored.upm.es/

El fin de los terceros de confianza


En la LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) se incluyó una previsión en su artículo 25 sobre los terceros de confianza que no se desarrolló posteriormente de forma sistemática, lo que dio lugar a que varias empresas se autodenominaran “Terceros de Confianza” o calificaran como tales de forma amplia a sus servicios que, en realidad estaban bastante limitados por la norma:

Artículo 25 Intervención de terceros de confianza

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

En primer lugar, muchos de los servicios que se “venden” como de terceros de confianza, en realidad actúan como encargados de tratamiento para una de las partes, mientras que la otra (u otras) ni siquiera son consultadas sobre si desean pactar la intevención del “tercero de confianza”.

Pero, además, el lógico desarrollo legal de la figura del “tercero de confianza” no se produjo, y los detalles de interpretación se dejaron al criterio más o menos especializado de expertos interesados en promocionar su propia solución. La figura del depósito extrajudicial (Art 1763 del Código Civil) y las previsiones del contrato de depósito permitieron arropar jurídicamente el concepto tecnológico, y las orientaciones de la literatura anglosajona sobre  “Trusted Third Party” propia de otras legislaciones se fueron aplicando a falta de algo mejor. En el concepto de TTP (Trusted Third Party) o de TdC (Tercero de Confianza)  se incluyeron los Prestadores de Servicios de Certificación, que, por otro lado debían respetar una ley específica (Ley 59/2003) y disposiciones en mútiples otras (Ley 11/2007 y Ley 18/2011, además de normativa subordinada).

Ahora con la aprobación del  REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE se establecen obligaciones concretas para los Prestadores de Servicios de Confianza Digital, incluyendo un esquema de supervisión de sus actividades y la obligatoriedad de realización de auditorías.

Ya no vale con que una entidad diga que es un “Tercero de Confianza”, ahora hay que demostrarlo.