Archivo de la categoría: #eIdaS

New EIDAS Regulation makes clear to web-browsers that they must recognize qualified website authentication certificates


New draft proposal to ammend Regulation (UE) No 910/2014 (EIDAS) replace Article 45 withe the following text:

Requirements for qualified certificates for website authentication

  1. Qualified certificates for website authentication shall meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
  2. Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. For those purposes web-browsers shall ensure that the identity data provided using any of the methods is displayed in a user friendly manner. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
  3. Within 12 months of the entering into force of this Regulation, the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1.  Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).’;

Nuevo DNIe 4.0


El Reglamento UE 2019/1157 del Parlamento Europeo y del Consejo de 20 de junio de 2019, armoniza el aspecto y las medidas de seguridad de los documentos de identidad y de residencia de los ciudadanos de todos los países miembros de la Unión Europea.

Los requisitos técnicos se basan en el documento 9303 de ICAO.

El tamaño de los documentos será el del formato ID-1 de la norma ISO/IEC 7810:2003, correspondiente al tamaño estándar de “tarjeta de crédito” que es de 85,60 × 53,98 mm (3 3⁄8 × 2 1⁄8 pulgadas) y esquinas redondeadas con un radio de entre 2.88 y 3.48 mm.

España ya lleva unos meses desarrollando con las nuevas especificaciones el nuevo documento DNIe 4.0 y el ministro del Interior, Fernando Grande-Marlaska, lo ha presentado oficialmente el 2 de junio de 2021.

El acto de presentación ha sido celebrado en la comisaría de la Policía Nacional de Móstoles y con el ministro han participado el director general de la Policía, Francisco Pardo, y por la delegada del Gobierno en Madrid, Mercedes González, entre otras autoridades.

La actriz Luisa Martín, la inspectora Miralles en la serie televisiva “Servir y proteger”, ha sido la primera persona en recibir el nuevo DNI. 

La Policía Nacional, en un trabajo conjunto con La Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, ha diseñado un soporte que incluye características materiales, técnicas, de seguridad, funcionales y de usabilidad alineados con los avances más recientes de seguridad documental.

Entre los cambios introducidos, el nuevo DNI incluye la denominación en inglés “National Identity Card”y en el anverso, el código de dos letras que identifica el Estado miembro.

El nuevo modelo de DNI Europeo se enmarca dentro del Programa de Identidad Digital DNIE de la Policía Nacional. El programa trabaja en el desarrollo de una aplicación de teléfono móvil gratuita que permitirá la acreditación de la identidad y la firma electrónica.

Electronic signatures in EU Digital COVID Certificates, based on qualified certificates issued by #EIDAS Certification Authorities


To configure DGCG (Digital Green Certificate Gateway) in Digital COVID Certificate project, participating countries provide information regarding Public Key of the certificate of CSCA (Certificate Signing Certificate Authority). Spain uses a ECC #eIDAS Sub-CA as CSCA.

CSCA, as defined in the DGC project, requires the CSCA cert to include the country field for which the CSCA is valid. However, #EIDAS certificates are intended for cross-border interoperability, so the country field in the CA cert is irrelevant to countries in which it is valid.

DGC technical documents should be changed so CSCA of one country could be serviced from a CA in other country. So #EIDAS certification authorities could provide DSC certificates to health bodies in any country. The same principle should be extended to WHO technical documents.

Extended key Usage Identifiers could be present with some information in #EIDAS certificates, so the explanation that the DSC may contain an extended key usage extension with zero or more key usage policy identifiers that constrain the types of HCERTs such DSC certificate may sign, should consider other OIDs as “not present” if the eHealth application doesn´t understand them.

If one or more of the special DGC OIDs are present, the verifiers SHALL verify the extended key usage against the stored HCERT.

In absence of any key usage extension of the special DGC OIDs (i.e. no such special DGC OIDs extensions), the related DSC certificate can be used to sign any type of HCERT.

So, in #EIDAS DSC certificates to be used to electronically sign HCERT, the following OIDs can be used in Extended Key Usage extension fields:

  • OID 1.3.6.1.4.1.1847.2021.1.1 — valid for test
  • OID 1.3.6.1.4.1.1847.2021.1.2 — valid for vaccinations
  • OID 1.3.6.1.4.1.1847.2021.1.3 — valid for recovery

This OIDs can be present if the related EU Digital COVID Certificate is restricted to one of two kind of certificates. If all 3 are included (or none of them) the related EU Digital COVID Certificate is NOT restricted and can reflect any of the three options.

Public Key of Spain CSCA for European digital COVID certificate


In order to configure DGCG (Digital Green Certificate Gateway) participating countries need to deliver information regarding CSCA (Certificate Signing Certificate Authority), and specifically Public Key of the certificate of the CA used to sign the DSC (Document Signing Certificate) of every Body in charge of issuing DGC (Digital Green Certificates) . Remember that Health CSCA is different from CSCA used in Passports although both environments use similar terminology.

Trust List managed by Gateway

The ECC p-256 Public Key of Spain CSCA to be used for European Digital Green Certificates is

—–BEGIN PUBLIC KEY—–MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1rjpdfCTyXE8RdrbW8rbLagURmGQerDBqh0WEaRCaJpqDuqKy0Zs1fXBhSPJQ4334X0TdMAWBIoLnLBC2up9Lg==
—–END PUBLIC KEY—–

Principles regarding validity

  • Rule 0: A certificate needs to be valid when it is used to sign/seal.
  • Rule 1: The DSC needs to be valid longer than anything it signs. So, the DSC expiry date must be >= than expiration date of the document it signs.
  • Rule 2: The CSCA needs to be valid longer than any DSC it signs.
  • Rule 3: If any certificate has a shorter ‘key usage period’ – then the signature has to be created in that period.

More info:

Para más información: +34 91716055

Thales anuncia la certificación EIDAS para firma remota de sus HSM


El Módulo de Seguridad de Hardware (Hardware Security Module, HSM) de Thales denominado Luna v.7.7.0 ya está certificado de acuerdo con los Criterios Comunes (Common Criteria, CC) en el nivel EAL4+ contra el Perfil de Protección (PP) EN 419 221-5 de los Servicios de Identificación, Autenticación y Confianza electrónicos (eIDAS). Además de la certificación CC, Luna HSM 7 también ha recibido la certificación eIDAS como dispositivo cualificado de creación de firmas y sellos (Qualified Signature/Seal Creation Device QSCD).

Los HSM Luna (de las generaciones 6 y 7, anteriormente englobados bajo la marca Safenet) ya habían conseguido certificaciones como QSCD independiente, o como parte de un QSCD de firma remota formado por módulos creados por entidades terceras que los incluían en su configuración. Han certificado su validez entidades de evaluación de conformidad de Austria, Italia y España, según lo previsto en el artículo 30.3.b (Procesos alternativos) del Reglamento EIDAS.

Los prestadores de servicios de confianza cualificados (Qualified Trust Service Providers, QTSP), así como las empresas públicas o privadas que emiten certificados digitales y proporcionan firmas y sellos digitales sobre servidores propios o remotos (avanzados y cualificados), sello de tiempo, entrega electrónica y servicios de autenticación de sitios web, pueden utilizar ahora los HSM Luna 7 como parte de su solución alineada con eIDAS.

Esta certificación CC EAL4+ de la familia de HSMs Luna es la quinta en cuatro generaciones de productos (Luna CA3, Luna 4, Luna 5/6 y ahora Luna 7).

Esta última versión de HSM Luna incluye funciones útiles para operaciones eIDAS de gran volumen, que requieran alto rendimiento, y funcionalidades como la autorización por clave (per-key authorization, PKA) y el almacenamiento escalable de claves (scalable key storage, SKS), funciones utilizadas por los sistemas que gestionan firmas remotas en nombre del titular del certificado.

Los Prestadores de Servicios de Confianza (Trust Service Providers – TSP) que adopten estos HSM de Thales pueden certificar sus soluciones de firma remota conPerfil de Protección Common Criteria EN 419 241-2 (perfil de protección para QSCD diseñado para la modalidad de firma electrónica en servidor), o en el caso de una certificación eIDAS existente (en base al artículo 30.3.b, procesos alternativos), ampliar su lista de certificaciones con esta nueva certificación Common Criteria.

La certificación en base al Perfil de Protección Common Criteria EN 419 221-5 “Cryptographic Modules for Trust Services” (Módulos criptográficos para servicios de confianza) puede utilizarse como certificación independiente o como base para una certificación CC de mayor alcance según el Perfil de Protección EN 419 241-2 para servicios de firma y sellado electrónico remotos. La norma EN 419 241-2 exige el empleo de un módulo criptográfico, como un HSM, destinado a ser utilizado por los TSP en apoyo de las operaciones de firma electrónica y sellado electrónico, que esté certificado conforme a la norma EN 419 221-5.

Además, los artículos 30 y 31 del reglamento eIDAS dictan que “La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos [de la UE] […] será certificada por los organismos públicos o privados adecuados designados por los Estados miembros”. Luna HSM 7 está publicado en la lista del artículo 31 de eIDAS, promoviendo su uso como QSCD certificado.

El uso de un equipamiento de HSM basado en la nube o en las instalaciones de la entidad que lo adopta es una forma excelente de cumplir con el eIDAS y tiene muchas ventajas, pero se exige que el HSM esté certificado como dispositivo QSCD.

En los entornos de trabajo remotos existe la necesidad de acceder a las claves de firma digital en cualquier momento y lugar. Los HSM se utilizan para gestionar y proteger las claves de firma privadas de sus titulares, sin que el firmante deba preocuparse por su custodia (como ocurre cuando se utilizan tarjetas inteligentes). Sus claves se mantienen en el perímetro del Prestador de Servicios de Confianza (protegidas por el HSM) y con sujeción a la evaluación periódica del prestador.

HSMs Luna

Además de los requisitos a los HSM impuestos por el Reglamento eIDAS mencionados anteriormente, que requieren su evaluación de conformidad, los HSM de red y de tarjeta PCIe de Luna proporcionan altos rendimientos, protección de claves de alto nivel de aseguramiento y la administración y supervisión centralizada de las operaciones de criptografía necesarias para gestionar firmas electrónicas, sellos electrónicos y otros servicios de confianza y resultan necesarios para proporcionar servicios eIDAS.

Noticia comunicada por Thales (artículo de Hermann Bauer) .

ARCE, Archivo de Constancias Electrónicas, un buen ejemplo


Desde hace casi 20 años estoy pendiente del concepto “ARCE, Archivo de Constancias Electrónicas“, acuñado probablemente en el Ministerio de Ciencia y Tecnología en la época de Anna Maria Birulés i Bertran, Josep Piqué Camps o Juan Costa Climent.

La primera mención al “ARCE” en el BOE es de la época en que la denominación del Ministerio era “Ministerio de Industria, Turismo y Comercio”. Se trata de la Orden ITC/1475/2006, de 11 de mayo, sobre utilización del procedimiento electrónico para la compulsa de documentos en el ámbito del Ministerio de Industria, Turismo y Comercio.

Para mi es una de las normas seminales que inauguran de verdad la digitalización de la administración, ya que trata con detalle de la digitalización de los documentos en papel con carácter de auténtico a partir del concepto de “compulsa” por funcionario público. Y el manejo en papel de los documentos de procedencia digital.

El precedente directo era el Artículo 8 (Almacenamiento de documentos) del Real Decreto 263/1996, de 16 de febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado.

En mis cursos y seminarios, especialmente cuando trato de los conceptos de Diplomática Digital, el ARCE lo menciono siempre.

Sin embargo, uno de los retos que encaran las administraciones públicas, especialmente significativo en el caso de la digitalización, es el de construir de cara a los ciudadanos experiencias de usuario consistentes. Y no me quiero quedar con una frase generalista. Me refiero a que cada vez que cambian los nombres de los ministerios con cada gobiero, o se reorganizan las secretarías de estado que pasan de unos ministerios a otros, cambian los dominios internet que hacen referencia a los ministerios con nuevas siglas.

Y un aspecto esencial de la administración como la posibilidad de cotejar un CSV (Código Seguro de Verificación) de un documento electrónico se distorsiona porque el punto de cotejo (la página a la que se accede para comprobar la autenticidad de un documento) puede haber cambiado de nombre y de URL en alguna de las reorganizaciones del gobierno, especialmente tras unas elecciones.

Por eso, desde hace varios años sugiero (lo señalo en mis cursos) que se definan URLs genéricas para el servicio de cotejo, que hagan uso de denominaciones genéricas no vinculadas al nombre del Ministerio ni de la Secretaría de Estado.

Por eso ahora quiero referirme a la URL https://serviciosmin.gob.es/arce/ que en cierto modo implementa esta idea. En el Ministerio de Energía, Turismo y Agenda Digital (vigente desde el 4 de noviembre de 2016 hasta el 7 de junio de 2018) se incluían estas Secretarías de Estado:

  • Secretaría de Estado de Energía.
  • Secretaría de Estado para la Sociedad de la Información y la Agenda Digital.
  • Secretaría de Estado de Turismo

Que quedaron repartidas en varios Ministerios en el gobierno vigente en la actualidad:

  • La Secretaría de Estado de Energía pasó al “Ministerio para la Transición Ecológica y el Reto Demográfico”
  • La Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, pasó a dividirse en 2, la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y la Secretaría de Estado de Digitalización e Inteligencia Artificial, formando ambas parte del Ministerio de Asuntos Económicos y Transformación Digital.
  • La Secretaría de Estado de Turismo se quedó en el “mismo” ministerio, que pasó a llamarse “Ministerio de Industria, Comercio y Turismo”, y que acogió otras secretarías de estado procedentes de otros ministerios.

Por tanto, los servicios informáticos que estaban en un mismo ministerio atendendiendo a varias secretarías de estado, tuvieron que hacer encaje de bolillos para no interrumpir el servicio que ya correspondía a varios ministerios.

Además otros movimientos de secretarías de estado han generado retos similares.

Así que la denominación https://serviciosmin.gob.es/arce/ ya no hace referencia a un Ministerio en particular.

Mi sugerencia es que https://arce.gob.es bien podría ser el punto de cotejo de CSVs de todos los Ministerios, sea cual sea su denominación. Seguro que la adaptación informática no es muy compleja, especialmente si se empiezan a adoptar los Códigos de Verificación Enrutables.

Los organismos públicos españoles no gestionan correctamente los certificados cualificados


No estoy seguro de que la afirmación se pueda generalizar a “TODOS” los organismos públicos, pero sí a la inmensa mayoría.

Desde hace unos cuantos años, muchos organismos públicos publican una lista de los Prestadores de Servicios de Certificación cuyos certificados admiten para realizar gestiones en su sede electrónica.

La mera existencia de una lista ya es sospechosa, porque es muy difícil mantenerla actualizada, salvo que se haga referencia a la herramienta publicada por la Comisión Europea que permite visualizar los Prestadores de Servicios de Certificación Cualificados de todos los estados miembros: https://webgate.ec.europa.eu/tl-browser/#/

La existencia de la lista da a entender que solo se admiten algunos prestadores españoles, pero si fuera así, sería ilegal.

Algunos organismos hacen referencia a que admiten los certificados que gestiona la plataforma @firma, pero esta plataforma tampoco está siendo diligente en la gestión de certificados. Y aunque con cierta frecuencia publica nuevas versiones de un documento que incluye los prestadores cuyos certificados han comprobado ( Anexo – PSC ) la cadencia de publicación lleva varios meses de retraso respecto a la publicación por la SEDIA de la lista de confianza TSL española en PDF y XML (y la lista anexa de resumen de cambios Cambios TSL).

Y el mecanismo adoptado para la comprobación de certificados por @firma debería estar más automatizado, en especial para acoger los certificados cuyos perfiles siguen las pautas definidas en los estándares de ETSI (aplicables a personas y entidades de cualquier país), aunque caber entender que los certificados “especiales” de empleado público, de sello electrónico para las administraciones, y de sede electrónica puedan contener información adicional, ya que se han definido perfiles de certificados especiales para ello en el documento “Perfiles de Certificados 2.0“. No se entiende este retraso, especialmente si se tiene en cuenta que la SGAD (de la que depende @firma ) está en el mismo Ministerio que la SEDIA ( Organismo al que los Prestadores solicitan la cualificación y su inclusión en la TSL).

Voy a indicar a continuación referencias a varias leyes (y un reglamento europeo) para que se entienda que todos los organismo públicos deben admitir los certificados de todos los prestadores cualificados europeos indpendientemente del pais que los haya incluido en su lista TSL.

La reciente Ley 6/2020 indica:

Artículo 16. Mantenimiento de la lista de confianza.

1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará la lista de confianza con información relativa a los prestadores cualificados de servicios de confianza sujetos a esta Ley, junto con la información relacionada con los servicios de confianza cualificados prestados por ellos, según lo previsto en el artículo 22 del Reglamento (UE) 910/2014.

2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento será de 6 meses, transcurridos los cuales se podrá entender desestimada la solicitud.

3. La revocación de la cualificación a un prestador o a un servicio mediante su retirada de la lista de confianza es independiente de la aplicación del régimen sancionador.

Por otro lado, la Ley 39/2015 indica:

Artículo 9. Sistemas de identificación de los interesados en el procedimiento.

1. Las Administraciones Públicas están obligadas a verificar la identidad de los interesados en el procedimiento administrativo, mediante la comprobación de su nombre y apellidos o denominación o razón social, según corresponda, que consten en el Documento Nacional de Identidad o documento identificativo equivalente.

2. Los interesados podrán identificarse electrónicamente ante las Administraciones Públicas a través de los sistemas siguientes:

a) Sistemas basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas basados en certificados electrónicos cualificados de sello electrónico expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

(…)

Artículo 10. Sistemas de firma admitidos por las Administraciones Públicas.

1. Los interesados podrán firmar a través de cualquier medio que permita acreditar la autenticidad de la expresión de su voluntad y consentimiento, así como la integridad e inalterabilidad del documento.

2. En el caso de que los interesados optaran por relacionarse con las Administraciones Públicas a través de medios electrónicos, se considerarán válidos a efectos de firma:

a) Sistemas de firma electrónica cualificada y avanzada basados en certificados electrónicos cualificados de firma electrónica expedidos por prestadores incluidos en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

b) Sistemas de sello electrónico cualificado y de sello electrónico avanzado basados en certificados electrónicos cualificados de sello electrónico expedidos por prestador incluido en la ‘‘Lista de confianza de prestadores de servicios de certificación’’.

Por otro lado, el Reglamento Europeo UE 910 2014 indica en su artículo 25:

(…)

3.   Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

De forma semejente, en su artículo 27  Firmas electrónicas en servicios públicos


1.   Si un Estado miembro requiere una firma electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firma electrónica y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere una firma electrónica avanzada basada en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán para la utilización transfronteriza de un servicio en línea ofrecido por un organismo del sector público una firma electrónica cuyo nivel de garantía de la seguridad sea superior al de una firma electrónica cualificada.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos de las firmas electrónicas avanzadas mencionadas en los apartados 1 y 2 del presente artículo y en el artículo 26 cuando una firma electrónica avanzada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Existen artículos semejantes para los sellos electrónico. Por ejemplo el artículo 35 indica:


(…)3.   Un sello electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello electrónico cualificado en todos los demás Estados miembros.

Y el artículo Artículo 37 Sellos electrónicos en servicios públicos

1.   Si un Estado miembro requiere un sello electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado reconocido de sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2.   Si un Estado miembro requiere un sello electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3.   Los Estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, un sello electrónico cuyo nivel de seguridad sea superior al de un sello electrónico cualificado.

4.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el artículo 36 cuando un sello electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5.   A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En resumidas cuentas, los organismos públicos deben aceptar todos los certificados cualificados expedidos por Prestadores de Servicios de Certificación incluidos en las Lista de Servicios de Confianza Cualificados de todos los paises de la Unión Europea.

La lista de confianza europea está disponble en el siguiente enlace:
https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml
Este fichero contiene los enlaces  a las listas TSL de todos los estados miembros.

Los que sigan este blog han comprobado que no dejo de ser insistente porque llevo hablando de este tema desde hace más de 10 años (cada vez referenciando normas distintas, las vigentes en ese momento) y prueba de ello son los siguientes artículo:

Los servicios de confianza digital y el comercio electrónico en la relación UK-EU tras el Brexit


El borrador del acuerdo de comercio y cooperación entre la Unión Europea y la Comunidad Europea de Energía Atómica, por un lado, y el Reino Unido de Gran Bretaña e Irlanda del Norte por otro, se publicó finalmente el 25 de diciembre de 2020 tras anunciarse la Nochebuena previa que se había alcanzado el acuerdo.

Aunque el borrador está sujeto a cambios menores de redacción, se someterá a ratificación por los gobernos de los paises miembros, y de lograrse, se aplicará a partir del dia 1 de mes siguiente al que se haya producido dicha ratificación y la del Parlamento británico.

Los primeros meses desde el 1 de enero de 2021 pueden ser un poco caóticos salvo que se adopten medidas provisionales, cuestionables desde el punto de vista de la percepción de la soberanía de los países miembros o el Reino Unido solicite un aplazamiento de la fecha límite de vigencia del período de transición. Lo que no se espera, porque da la impresión de que el Primer Ministro británico precisamente pretende demostrar que permanecer en la Unión Europea supone renunciar a un cierto grado de soberanía nacional.

En el acuerdo, a partir de la página 116 el Título III se refiere a las condiciones de Comercio Electrónico (Digital Trade).

TITLE III: DIGITAL TRADE
Chapter 1: General provisions
Article DIGIT.1 Objective


The objective of this Title is to facilitate digital trade, to address unjustified barriers to trade enabled by electronic means and to ensure an open, secure and trustworthy online environment for businesses and consumers.

Article DIGIT.2 Scope

  1. This Title applies to measures of a Party affecting trade enabled by electronic means.
  2. This Title does not apply to audio-visual services.

Article DIGIT.3 Right to regulate


The Parties reaffirm the right to regulate within their territories to achieve legitimate policy objectives, such as the protection of public health, social services, public education, safety, the environment including climate change, public morals, social or consumer protection, privacy and data protection, or the promotion and protection of cultural diversity.

Article DIGIT.4 Exceptions


For greater certainty, nothing in this Title prevents the Parties from adopting or maintaining measures in accordance with Article EXC.1 [General exceptions], Article EXC.4 [Security exceptions] and Article SERVIN.5.39 [Prudential carve-out] for the public interest reasons set out therein.

Article DIGIT.5 Definitions

  1. The definitions in Article SERVIN.1.2 [Definitions] of Title II [Services and investment] of this Heading apply to this Title.
  1. For the purposes of this Title:
    (a) “consumer” means any natural person using a public telecommunications service for other than professional purposes;
    (b) “direct marketing communication” means any form of commercial advertising by which a natural or legal person communicates marketing messages directly to a user via a public telecommunications service and covers at least electronic mail and text and multimedia messages (SMS and MMS);
    (c) “electronic authentication” means an electronic process that enables the confirmation of:
    (i) the electronic identification of a natural or legal person, or
    (ii) the origin and integrity of data in electronic form;
    (d) “electronic registered delivery service” means a service that makes it possible to transmit data between third parties by electronic means and provides evidence relating to the handling of the transmitted data, including proof of sending and receiving the data, and that protects transmitted data against the risk of loss, theft, damage or any unauthorised alterations;
    (e) “electronic seal” means data in electronic form used by a legal person which is attached to or logically associated with other data in electronic form to ensure the latter’s origin and integrity;
    (f) “electronic signature” means data in electronic form which is attached to or logically associated with other data in electronic form that:
    (i) is used by a natural person to agree on the data in electronic form to which it relates; and
    (ii) is linked to the data in electronic form to which it relates in such a way that any subsequent alteration in the data is detectable;
    (g) “electronic time stamp” means data in electronic form which binds other data in electronic form to a particular time establishing evidence that the latter data existed at that time;
    (h) “electronic trust service” means an electronic service consisting of:
    (i) the creation, verification and validation of electronic signatures, electronic seals, electronic time stamps, electronic registered delivery services and certificates related to those services;
    (ii) the creation, verification and validation of certificates for website authentication; or
    (iii) the preservation of electronic signatures, seals or certificates related to those services;
    (i) “government data” means data owned or held by any level of government and by non-governmental bodies in the exercise of powers conferred on them by any level of government;
    (j) “public telecommunications service” means any telecommunications service that is offered to the public generally;
    (k) “user” means any natural or legal person using a public telecommunications service.

Chapter 2: Data flows and personal data protection
Article DIGIT.6 Cross-border data flows

  1. The Parties are committed to ensuring cross-border data flows to facilitate trade in the digital economy. To that end, cross-border data flows shall not be restricted between the Parties by a Party:
    (a) requiring the use of computing facilities or network elements in the Party’s territory for processing, including by imposing the use of computing facilities or network elements that are certified or approved in the territory of a Party;
    (b) requiring the localisation of data in the Party’s territory for storage or processing;
    (c) prohibiting the storage or processing in the territory of the other Party; or
    (d) making the cross-border transfer of data contingent upon use of computing facilities or network elements in the Parties’ territory or upon localisation requirements in the Parties’ territory.
  2. The Parties shall keep the implementation of this provision under review and assess its functioning within three years of the date of entry into force of this Agreement. A Party may at any time propose to the other Party to review the list of restrictions listed in paragraph 1. Such a request shall be accorded sympathetic consideration.

Article DIGIT.7 Protection of personal data and privacy

  1. Each Party recognises that individuals have a right to the protection of personal data and privacy and that high standards in this regard contribute to trust in the digital economy and to the development of trade.
  2. Nothing in this Agreement shall prevent a Party from adopting or maintaining measures on the protection of personal data and privacy, including with respect to cross-border data transfers, provided that the law of the Party provides for instruments enabling transfers under conditions of general application34 for the protection of the data transferred.
  3. Each Party shall inform the other Party about any measure referred to in paragraph 2 that it adopts or maintains.


Chapter 3: Specific provisions
Article DIGIT.8 Customs duties on electronic transmissions

  1. Electronic transmissions shall be considered as the supply of a service within the meaning of Title II [Services and investment] of this Heading.
  2. The Parties shall not impose customs duties on electronic transmissions.

Article DIGIT.9 No prior authorisation

  1. A Party shall not require prior authorisation of the provision of a service by electronic means solely on the ground that the service is provided online, and shall not adopt or maintain any other requirement having an equivalent effect.
  2. A service is provided online when it is provided by electronic means and without the parties being simultaneously present.
  3. Paragraph 1 does not apply to telecommunications services, broadcasting services, gambling services, legal representation services or to the services of notaries or equivalent professions to the extent that they involve a direct and specific connection with the exercise of public authority.


Article DIGIT.10: Conclusion of contracts by electronic means

  1. Each Party shall ensure that contracts may be concluded by electronic means and that its law neither creates obstacles for the use of electronic contracts nor results in contracts being deprived of legal effect and validity solely on the ground that the contract has been made by electronic means.
  2. Paragraph 1 does not apply to the following:
    (a) broadcasting services;
    (b) gambling services;
    (c) legal representation services;
    (d) the services of notaries or equivalent professions involving a direct and specific connection with the exercise of public authority;
    (e) contracts that require witnessing in person;
    (f) contracts that establish or transfer rights in real estate;
    (g) contracts requiring by law the involvement of courts, public authorities or professions exercising public authority;
    (h) contracts of suretyship granted, collateral securities furnished by persons acting for purposes outside their trade, business or profession; or
    (i) contracts governed by family law or by the law of succession.

Article DIGIT.11 Electronic authentication and electronic trust services

  1. A Party shall not deny the legal effect and admissibility as evidence in legal proceedings of an electronic document, an electronic signature, an electronic seal or an electronic time stamp, or of data sent and received using an electronic registered delivery service, solely on the ground that it is in electronic form.
  2. A Party shall not adopt or maintain measures that would:
    (a) prohibit parties to an electronic transaction from mutually determining the appropriate electronic authentication methods for their transaction; or
    (b) prevent parties to an electronic transaction from being able to prove to judicial and administrative authorities that the use of electronic authentication or an electronic trust service in that transaction complies with the applicable legal requirements.
  3. Notwithstanding paragraph 2, a Party may require that for a particular category of transactions, the method of electronic authentication or trust service is certified by an authority accredited in accordance with its law or meets certain performance standards which shall be objective, transparent and non-discriminatory and only relate to the specific characteristics of the category of transactions concerned.

Article DIGIT.12: Transfer of or access to source code

  1. A Party shall not require the transfer of, or access to, the source code of software owned by a natural or legal person of the other Party.
  2. For greater certainty:
    (a) the general exceptions, security exceptions and prudential carve-out referred to in Article DIGIT.4 [Exceptions] apply to measures of a Party adopted or maintained in the context of a certification procedure; and
    (b) paragraph 1 of this Article does not apply to the voluntary transfer of, or granting of access to, source code on a commercial basis by a natural or legal person of the other Party, such as in the context of a public procurement transaction or a freely negotiated contract.
  3. Nothing in this Article shall affect:
    (a) a requirement by a court or administrative tribunal, or a requirement by a competition authority pursuant to a Party’s competition law to prevent or remedy a restriction or a distortion of competition;
    (b) a requirement by a regulatory body pursuant to a Party’s laws or regulations related to the protection of public safety with regard to users online, subject to safeguards against unauthorised disclosure;
    (c) the protection and enforcement of intellectual property rights; and
    (d) the right of a Party to take measures in accordance with Article III of the GPA as incorporated by Article PPROC.2 [Incorporation of certain provisions of the GPA and covered procurement] of Title VI [Public procurement] of this Heading.

Article DIGIT.13 Online consumer trust

  1. Recognising the importance of enhancing consumer trust in digital trade, each Party shall adopt or maintain measures to ensure the effective protection of consumers engaging in electronic commerce transactions, including but not limited to measures that:
    (a) proscribe fraudulent and deceptive commercial practices;
    (b) require suppliers of goods and services to act in good faith and abide by fair commercial practices, including through the prohibition of charging consumers for unsolicited goods and services;
    (c) require suppliers of goods or services to provide consumers with clear and thorough information, including when they act through intermediary service suppliers, regarding their identity and contact details, the transaction concerned, including the main characteristics of the goods or services and the full price inclusive of all applicable charges, and the applicable consumer rights (in the case of intermediary service suppliers, this includes enabling the provision of such information by the supplier of goods or services); and
    (d) grant consumers access to redress for breaches of their rights, including a right to remedies if goods or services are paid for and are not delivered or provided as agreed.
  1. The Parties recognise the importance of entrusting their consumer protection agencies or other relevant bodies with adequate enforcement powers and the importance of cooperation between these agencies in order to protect consumers and enhance online consumer trust.

Article DIGIT.14 Unsolicited direct marketing communications

  1. Each Party shall ensure that users are effectively protected against unsolicited direct marketing communications.
  2. Each Party shall ensure that direct marketing communications are not sent to users who are natural persons unless they have given their consent in accordance with each Party’s laws to receiving such communications.
  3. Notwithstanding paragraph 2, a Party shall allow natural or legal persons who have collected, in accordance with conditions laid down in the law of that Party, the contact details of a user in the context of the supply of goods or services, to send direct marketing communications to that user for their own similar goods or services.
  4. Each Party shall ensure that direct marketing communications are clearly identifiable as such, clearly disclose on whose behalf they are made and contain the necessary information to enable users to request cessation free of charge and at any moment.
  5. Each Party shall provide users with access to redress against suppliers of direct marketing communications that do not comply with the measures adopted or maintained pursuant to paragraphs 1 to 4.

Article DIGIT.15 Open government data

  1. The Parties recognise that facilitating public access to, and use of, government data contributes to stimulating economic and social development, competitiveness, productivity and innovation.
  2. To the extent that a Party chooses to make government data accessible to the public, it shall endeavour to ensure, to the extent practicable, that the data:
    (a) is in a format that allows it to be easily searched, retrieved, used, reused, and redistributed;
    (b) is in a machine-readable and spatially-enabled format;
    (c) contains descriptive metadata, which is as standard as possible;
    (d) is made available via reliable, user-friendly and freely available Application Programming Interfaces;
    (e) is regularly updated;
    (f) is not subject to use conditions that are discriminatory or that unnecessarily restrict re-use; and
    (g) is made available for re-use in full compliance with the Parties’ respective personal data protection rules.
  1. The Parties shall endeavour to cooperate to identify ways in which each Party can expand access to, and use of, government data that the Party has made public, with a view to enhancing and generating business opportunities, beyond its use by the public sector.

Article DIGIT.16 Cooperation on regulatory issues with regard to digital trade

  1. The Parties shall exchange information on regulatory matters in the context of digital trade, which shall address the following:
    (a) the recognition and facilitation of interoperable electronic trust and authentication services;
    (b) the treatment of direct marketing communications;
    (c) the protection of consumers; and
    (d) any other matter relevant for the development of digital trade, including emerging technologies.
  2. Paragraph 1 shall not apply to a Party’s rules and safeguards for the protection of personal data and privacy, including on cross-border transfers of personal data.
    Article DIGIT.17 – Understanding on computer services
  3. The Parties agree that, for the purpose of liberalising trade in services and investment in accordance with Title II [Services and Investment] of this Heading, the following services shall be considered as computer and related services, regardless of whether they are delivered via a network, including the Internet:
    (a) consulting, adaptation, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, support, technical assistance or management of or for computers or computer systems;
    (b) computer programmes defined as the sets of instructions required to make computers work and communicate (in and of themselves), as well as consulting, strategy, analysis, planning, specification, design, development, installation, implementation, integration, testing, debugging, updating, adaptation, maintenance, support, technical assistance, management or use of or for computer programmes;
    (c) data processing, data storage, data hosting or database services;
    (d) maintenance and repair services for office machinery and equipment, including computers; and
    (e) training services for staff of clients, related to computer programmes, computers or computer systems, and not elsewhere classified.
  4. For greater certainty, services enabled by computer and related services, other than those listed in paragraph 1, shall not be regarded as computer and related services in themselves.

Variaciones entre versiones de la Lista de Confianza de Prestadores de Servicios de Confianza (TSL) de España


El Ministerio de Asuntos Económicos y Transformación Digital en el que se encuadra la Secretaría de Estado de Digitalización e Inteligencia Artificial, Organo Supervisor de los Servicios Electrónicos de Confianza en España, publica la lista TSL que recoge los prestadores cualificados de servicios de confianza y los servicios cualificados que estos prestan, de acuerdo con lo dispuesto en el Reglamento Europeo UE 910/2014 (EIDAS).

Cada vez que se actualiza la lista, publica un fichero denominado “cambiosTSL.pdf” que contiene los cambios en la lista TSL desde la publicación anterior. No he conseguido encontrar ningún repositorio en el que estén las 107 listas publicadas hasta la fecha y como considero que es una información interesante, he pensado publicar en este blog las que yo he descargado a lo largo de los años.

Seguro que entre los lectores de este blog hay personas interesadas en la identidad digital y en los servicios electrónicos de confianza que me pueden ayudar a completar esta información. Aquellos que tengáis ficheros “cambiosTSL.pdf” descargados en un momento u otro, comprobad el número que figura al principio del contenido del archivo y enviádmelo, por favor, si es uno de los que me faltan. Podeis hacer el envío a julian (arroba) inza (punto)

Al final de este artículo iré poniendo los números de secuencia de los ficheros que me vayais enviando, para evitar en lo posible que envieis ficheros repetidos.

Y ahora indico la información relevante de los más recientes:

Número de secuencia: 107

Fecha de firma: 18 de noviembre de 2020

Cambios respecto a la versión anterior:

VÍNTEGRIS

  • Alta del servicio «Qualified Certificates issued by vinCAsign nebulaSUITE4 Authority» para la expedición de certificados cualificados de autenticación de sitios web.

ELECTRONIC IDENTIFICATION

  • Alta del prestador
  • Alta del servicio «Qualified Certificates issued by ELECTRONIC IDENTIFICATION CA1» para la expedición de certificados cualificados de firma electrónica.
  • Inclusión del cualificador «QCQSCDManagedOnBehalf» en el servicio anteriormente citado para los certificados emitidos en QSCD centralizado con el OID 1.3.6.1.4.1.55193.1.1.2.

Número de secuencia: 106

Fecha de firma: 23 de octubre de 2020

Cambios respecto a la versión anterior:

ANCERT

  • Alta del Servicio de Sellos cualificados de tiempo emitidos por «ANCERT Qualified Time-stamp Authority G2 (TSA/TSU)».

BEWOR

  • Alta del prestador cualificado de servicios de confianza
  • Alta del Servicio de expedición de certificados electrónicos cualificados de firma electrónica emitidos por “BEWOR TECH CA1”;

Número de secuencia: 105

Fecha de firma: 19 de octubre de 2020

Cambios respecto a la versión anterior:

 Ajustes técnicos en el fichero XML

FIRMAPROFESIONAL

  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado de CA para el Servicio « AC Firmaprofesional – INFRAESTRUCTURA».

Número de secuencia: 103

Fecha de firma: 5 de octubre de 2020

Cambios respecto a la versión anterior:


EADTRUST

  • Alta del prestador cualificado de servicios de confianza
  • Alta de los siguientes servicios de expedición de certificados cualificados de firma electrónica:
     “EADTrust RSA 2048 SubCA For Qualified Certificates 2019-NP”;
     “EADTrust RSA 4096 SubCA For Qualified Certificates 2019- NP”
     “EADTrust RSA 8192 SubCA For Qualified Certificates 2019- NP”;
     “EADTrust ECC 256 SubCA For Qualified Certificates 2019- NP”;
     “EADTrust ECC 384 SubCA For Qualified Certificates 2019- NP”.
  • Alta de los siguientes servicios de expedición de certificados cualificados de sello electrónico:

 “EADTrust RSA 2048 SubCA For Qualified Certificates 2019-LP”;
 “EADTrust RSA 4096 SubCA For Qualified Certificates 2019-LP”
 “EADTrust RSA 8192 SubCA For Qualified Certificates 2019-LP”;
 “EADTrust ECC 256 SubCA For Qualified Certificates 2019-LP”;
 “EADTrust ECC 384 SubCA For Qualified Certificates 2019-LP”.

  • Alta de los siguientes servicios de expedición de certificados electrónicos cualificados de autenticación de sitios web:

 “EADTrust RSA 4096 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust RSA 8192 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust ECC 256 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust ECC 384 SubCA For Qualified Web EV/PSD2 Cert 2019”;
 “EADTrust ECC 256 SubCA For Qualified Web DV/OV Cert 2019”;
 “EADTrust ECC 384 SubCA For Qualified Web DV/OV Cert 2019”;
 “EADTrust RSA 4096 SubCA For Qualified Web DV/OV Cert 2019”;
 “EADTrust RSA 8192 SubCA For Qualified Web DV/OV Cert 2019”.

Alta de los siguientes servicios de expedición de sellos electrónicos cualificados de tiempo:
 Servicio “QTSU ALPHA EADTrust”;
 Servicio “QTSU DELTA EADTrust”;
 Servicio “QTSU EPSILON EADTrust”.
 FIRMAPROFESIONAL

Alta del «Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web emitidos por “AC Firmaprofesional Secure Web 2020”»

Alta del «Servicio de expedición de sellos electrónicos cualificados de tiempo emitidos por “AC Firmaprofesional CLOUD QUALIFIED TSU-2020″».


SIGNE

  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado con
    para el Servicio «Certificados reconocidos emitidos por SIGNE Autoridad de Certificación»;
  • Inclusión en la extensión “Additional Service Information” de las indicaciones “ForeSignatures” y “ForeSeals”;
  • Inclusión en la extensión “Service Information Extension” la indicación “QSCDManagedOnBehalf” para el servicio emitido en QSCD centralizado con los OIDs 1.3.6.1.4.1.36035.1.2.3, 1.3.6.1.4.1.36035.1.10.3 y 1.3.6.1.4.1.36035.1.5.3.
     SIA
  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado de sello electrónico de tiempo para el Servicio «Sellos de tiempo cualificados emitidos por TSAQC».


LOGALTY

  • Inclusión en el campo «Digital Identity Service» de un nuevo certificado de CA para el Servicio «Certificados cualificados emitidos por Logalty Qualified CA G2».

Hasta aquí el contenido de los últimos cambios a la TSL.

Come veis, me falta el 104.

Ficheros “cambiosTSL.pdf” que sí tengo o he ido recibiendo:

107, 106, 105, 103, 101, 100, 99, 98, 93, 90, 89, 87, 86, 85, 83, 76, 62,

Iré poniendo un repositorio en un próximo artículo del Blog

Proyecto de Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados (OM Telepersonación)


El Reglamento (UE) nº 910/2014, del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE contempla en su artículo 24.1 d) la posibilidad de verificación de la identidad del solicitante de un certificado cualificado utilizando otros métodos de identificación reconocidos a escala nacional que garanticen una seguridad equivalente en términos de fiabilidad a la presencia física.

En España se ha ido consolidando la percepción de la urgencia de contar con una previsión legal para ello, de lo que ya se ha tratado en este blog en diferentes entradas:

El 4 de noviembre de 2020 el Ministerio de Asuntos Económicos y Transformación Digital remitió un correo electrónico a los prestadores de servicios de certificación y otras entidades interesadas informando sobre la tramitación de la nueva Orden sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados con objeto de desarrollar el artículo 13.6 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, determinando las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado electrónico cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, tal y como prevé el artículo 24.1 d) del Reglamento (UE) 910/2014, del Parlamento y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

El correo electrónicio citado, de acuerdo con el artículo 26 de la Ley 50/1997, de 27 de noviembre, del Gobierno invitaba a participar en el proceso de audiencia pública recogido en el portal del Ministerio. con el escaso plazo de una semana que concluyó el 11 de noviembre de 2020.

Además del texto propuesto, se acompañaba al borrador de Orden Ministerial de Telepersonación, su Memoria de Anaálisis de Impacto Normativo:

Se incluye la copia local de los citados docuementos: