Archivo de la categoría: #eIdaS

Lightweight Online Certificate Status Protocol (OCSP) en entornos de alto volumen de certificados


OCSPEl Protocolo de consulta en linea del estado de certificados (Online Certificate Status Protocol – OCSP) permite determinar el estado de vigencia o revocación de los certificados digitales sobre los que se consulta, como mecanismo alternativo al uso de listas de revocación de certificados (Certificate Revocation List – CRL).

Desde su definición en 1999, se ha desplegado en múltiples entornos y ha demostrado su utilidad hasta el punto de que se ha convertido en el mecanismo preferido de verificación de vigencia de certificados establecido en el Reglamento EIDAS.

En efecto, el  Art 24 indica:

(…)

3.   Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registrarán su revocación en su base de datos de certificados y publicarán el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de 24 horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.

4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.

Un servidor OCSP debe responder en “tiempo real”, generando una respuesta de información de vigencia por cada consulta relativa a un certificado.

A medida que el uso de tecnologías PKI continúa creciendo y cubre nuevos requerimientos, la necesidad de comprobar la vigencia de los certificados debe adaptarse a nuevos escenarios.

Al pensar en despliegues de dispositivos ubicuos en contextos de IoT (Internet de las cosas) con menores capacidades de proceso y quizá menor ancho de banda  se requiere un uso cuidadoso de OCSP para minimizar el uso de ancho de banda y la complejidad de procesamiento del lado del cliente. Si a eso se añade que pueden existir millones o cientos de millones de certificados expedidos para otros tantos dispositivos, el potencial consumo de ancho de banda destinado a OCSP cuando las entidades que confían en los certificados consultan su validez hacer recomendable contar con mecanismos optimizados. De ahí la conveniencia de contar con una versión ligera de OCSP que con el tiempo pueda ser adoptada por los diferentes intervinientes en estos contextos de despliegues masivos de certificados.

Estas consideraciones han dado lugar a la publicación del estándar RFC 5019, que simplifica el protocolo OCSP manteniendo la compatibilidad con versiones anteriores.

Confusión en torno a los dispositivos cualificados de creación de firma y sello electrónicos


He detectado un error difundido entre especialistas en firma electrónica y certificación en relación con los requisitos que existen en el marco del EIDAS (Reglamento UE 91/2014) para que un dispositivo de creación de sello electrónico o de firma electrónica tenga la consideración de cualificado.

El error probablemente procede de una respuesta a preguntas frecuentes publicada en la página web de la Secretaría de Estado de Avance Digital, Organismo Supervisor del sector de los servicios de confianza y de la certificación.

La pregunta es:

¿Qué es un dispositivo cualificado de creación de firma / de sello electrónico?

Y la respuesta publicada por la SEAD dice:

Un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. Asimismo, un dispositivo cualificado de creación de sello electrónico es aquel que cumple, mutatis mutandis, los requisitos indicados en el anexo II del Reglamento (UE) 910/2014.

De acuerdo con el artículo 30 del Reglamento (UE) 910/2014, la certificación es una condición sine qua non para la consideración de un dispositivo de creación de firma o sello electrónico como cualificado. La citada certificación obligatoria, que atestiguará el cumplimiento de los requisitos establecidos en el anexo II del citado Reglamento, podrá ser únicamente llevada a cabo por los organismos europeos designados al efecto de acuerdo con su artículo 30.2, en concreto en España, el Centro Criptológico Nacional.

La lista de dispositivos cualificados que han sido notificados a la Comisión Europea por parte de los Estados miembros en virtud del artículo 31 del Reglamento (UE) 910/2014 contiene, en consecuencia, todos aquellos dispositivos que han sido certificados, por lo que cualquier otro dispositivo que no figure en la citada lista no tiene la consideración de dispositivo cualificado.

Puede encontrar información actualizada sobre la lista de organismos europeos de certificación y la lista de dispositivos cualificados de creación de firma y sello en la página de la Comisión Europea.

Sin embargo, si leemos detalladamente el Reglamento EIDAS, lo que dice es bien distinto:

Artículo 29

Requisitos de los dispositivos cualificados de creación de firmas electrónicas

1.   Los dispositivos cualificados de creación de firmas electrónicas cumplirán los requisitos establecidos en el anexo II.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los dispositivos cualificados de creación de firmas electrónicas. Se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 30

Certificación de los dispositivos cualificados de creación de firmas electrónicas

1.   La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1. La Comisión pondrá la información a disposición de los Estados miembros.

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

4.   La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 47, en lo que respecta al establecimiento de criterios específicos que deben satisfacer los organismos designados a que se refiere el apartado 1 del presente artículo.

Como puede apreciarse, lo que dice el Reglamento (art 29) es que se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas norma, no que sea una condición “sine qua non”. Es decir, puede haber otras formas de demostrar los requisitos establecidos en el anexo II. De  hecho, los requisitos del Anexo II son esencialmente los mismos que se incluían en el Anexo III de la Directiva 1999/93:

ANEXO III – Directiva 1999/93

Requisitos de los dispositivos seguros de creación de firma electrónica

1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto;

b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;

c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.

2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA (Reglamento EIDAS)

1.

Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;

b) los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;

c) exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;

d) los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.

2.

Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.

3.

La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.

4.

Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

La similitud de requisitos entre el Anexo III de la Directiva y el Anexo II del Reglamento se ha reflejado en el artículo 51.1 del EIDAS:

1.   Los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a lo dispuesto en el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento.

En el contexto de la Directiva, inicialmente los dispositivos considerados dispositivos seguros de creación de firma electrónica eran los certificados en el ámbito del NIST. Inicialmente los FIPS-140-1 y posteriormente los FIPS 140-2 desde el 25 de mayo de 2001.

Hasta el año 2001 no existió una norma equivalente en el contexto europeo. En esa fecha se crearon en el CEN (Comité Europeo de Normalización) los borradores de las normas CWA 14167, CWA 14168 y CWA 14169 que finalmente se aprobaron en su versión final en el 2004. En el año 2003 se publicó la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo

Estos son los dispositivos a los que hace referencia el artículo 3, apartado 4, de la Directiva 1999/93/CE

Y en todo el  tiempo desde la publicación de la Directiva (1999) hasta la publicación de esta Decisión el cumplimiento del Anexo III se suponía que se llevaba a cabo por dispositivos certificados  FIPS-140-1 y s FIPS 140-2.

Tras la entrada en vigor del Reglamento EIDAS (publicado en 2014) pasó un tiempo sin que se aprobaran los nuevos estándares, por lo que siguieron siendo válidos los dispositivos seguros de creación de firma de la Directiva 1999/93.

En aplicación del apartado 3-b del artículo 30 cabía definir un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso hiciera uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notificaran ese proceso a la Comisión. Solo podía recurrirse a ese proceso  a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

España definió un proceso propio al amparo del apartado 3-b que se recogió en la “List of alternative processes notified to the Commission in accordance with Article 30.3(b) and 39.2 of the eIDAS Regulation (EU) No 910/2014

El documento de metodología definido por le Centro Criptológico Nacional “IT-009 – Remote Qualified Electronic Signature Creation Device Evaluation Methodology” se publicó en Enero de 2017, cuando ya empezaban a estar disponibles los borradores de las normas de evaluación de QSCD (Qualified Signature Cretion Device)

En 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

Una vez publicados los estándares quedaban sin efecto las normas transitorias.

Por resumir:

Hay varias circunstancias por las que un dispositivo tenga la consideración de cualificado:

Porque cumplía con el Anexo III de la Directiva:

  • FIPS-140-1 y FIPS-140-2
  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

Porque cumple con el anexo II del Reglamento:

  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma EN 419211 (partes 1 a 6) Según la DECISIÓN DE EJECUCIÓN (UE) 2016/650 
  • Normas transitorias en aplicación del art. 30 2 b del EIDAS (como la IT-009 del CCN)
  • Normas transitorias en aplicación del art. 51.1 del EIDAS: Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

 

Nueva lista de CABs (Conformity Assessment Bodies) en Europa


A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Sistemas de identificación electrónica notificados en el contexto del Reglamento EIDAS (910/2014)


El pasado 7 de noviembre de 2018 se publicó en el Diario Oficial de la Unión Europea la lista de sistemas de identificación electrónica notificados por los estados miembro con arreglo al artículo 9, apartado 1, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, con el número de referencia de publicación (2018/C 401/08).

En el plazo de un año, los sistemas notificados deben ser aceptados por todos los países miembro.

He tratado el tema de la gestión de identidad de los sistemas notificados en el marco del EIDAS en estos artículos:

Estado

Nombre del sistema

Medios de identificación electrónica

Nivel de seguridad

Fecha de publicación DOUE

Alemania

Sistema alemán de identificación electrónica basado en el control de acceso ampliado

Documento nacional de identidad

Permiso de residencia electrónico

Alto

26.9.2017

Italia

Sistema público de identidad digital (SPID)

Medios de identificación electrónica del SPID facilitados por:

Aruba PEC S.p.A.

 

Namirial S.p.A.

 

InfoCert S.p.A.

 

In.Te.S.A. S.p.A.

 

Poste Italiane S.p.A

 

Register.it S.p.A.

 

Sielte S.p.A.

 

Telecom Italia

 

Trust Technologies S.r.l.

Alto

Sustancial Bajo

10.9.2018

Croacia

Sistema nacional de identificación y autenticación

(SNIA)

Tarjeta personal de identidad (eOI)

Alto

7.11.2018

Estonia

Sistema estonio de identidad electrónica: ID card

Sistema estonio de identidad electrónica: RP card

Sistema estonio de identidad electrónica: Digi-ID

Sistema estonio de identidad electrónica: Digi-ID

Sistema estonio de identidad electrónica: Mobiil-ID

Sistema estonio de identidad electrónica: Diplomatic identity card

ID card

 

RP card

 

Digi-ID

 

e-Residency Digi-ID

 

Mobiil-ID

 

Documento de identidad diplomático

Alto

7.11.2018

España

Documento Nacional de Identidad electrónico (DNIe)

Tarjeta de identidad española

Alto

7.11.2018

Luxemburgo

Luxembourg national identity card (eID card) (Documento Nacional de Identidad de Luxemburgo)

Luxembourg eID card

Alto

7.11.2018

Enciclopedia de los Servicios de Certificación para Entidades Locales


Con motivo de la publicación de la Enciclopedia sobre Servicios de Certificación para Administraciones Locales, el próximo viernes 14 de diciembre a las 9:45 en la sede de la Federación Española de Municipos y Provincias (FEMP), se celebrará una Jornada de presentación, en la que se hará entrega de un ejemplar de la edición impresa.

Desde la FEMP(Abre en nueva ventana) consideran que los servicios de certificación electrónica en todas sus modalidades se han convertido en pieza clave para poder realizar cualquier actuación en el ámbito de la transformación digital, y es tal la diversidad de elementos de certificación que se hace necesario definir, argumentar y documentar de forma clara cada uno de ellos. Este es el motivo que les llevó a desarrollar una publicación que pudiera ayudar a los empleados de la Administración Local y que integre una serie de pautas para interpretar de forma práctica y homogénea toda la materia relacionada con Identidad Digital: Firma y certificados electrónicos, etc.

Programa(Abre en nueva ventana)

Inscripción(Abre en nueva ventana)

Detalle

09:45 h. Entrega de documentación

10:00 Apertura FEMP

10:15 h Presentación de “La Enciclopedia de Identidad Digital para Entidades Locales”

  • Sergio Caballero. Ayuntamiento de Alcobendas
  • Virginia Moreno. Ayuntamiento de Leganés

10:45 h Marco Legal y Regulatorio.

  • Carlos Galán. UC3M/ Agencia de Tecnología Legal

11:05 h El papel de la AGE: Servicios Electrónicos de confianza y Plataformas comunes.

  • Rafael Pérez Galindo, Ministerio de Economía y Empresa.
  • Aitor Cubo, Ministerio de Política Territorial y Función Pública.

11:25 h Pausa Café

12:00h TOMO I. TECNOLÓGICO Y JURÍDICO. PERSONAL AL SERVICIO DE LAS ADMINISTRACIONES PUBLICAS

  • Antonio Bastante. Diputación Ciudad Real
  • Fernando Gallego. Ayuntamiento de Picanya

12:20h TOMO II. CIUDADANÍA Y EMPRESAS

  • Eduardo Tuñón. Animsa

12:40 h TOMO III. GUÍA DIDÁCTICA

  • David Bueno. Ayuntamiento de Málaga
  • Javier de la Villa. Diputación de León.

13:00h Clausura

ID_Final.pdf La obra:

(11657.7Kb)

 

VI Curso experto legal en blockchain, smart contracts e ICOS


Los próximos días 28, 29 y 30 de noviembre de 2018 el Instituto Jurídico de Blockchain organiza un curso de ‘Experto legal en Blockchain, Smart Contracts e ICOS, que se celebrará en la sede del Consejo General de la Abogacía (Paseo de Recoletos, 13. Madrid). 

El curso está dirigido a abogados y profesionales del Derecho, miembros de la Administración Pública, académicos y docentes y empresas que estén valorando el lanzamiento de un proyecto de blockchain y se divide en cinco módulos.

  • ‘Tecnología blockchain, bitcoin, ethereum y principales retos jurídicos’,
  • ‘Identidad digital’,
  • Smart Contracts’,
  • ‘ICOS’ y
  • ‘Tokenización de activos. Aspectos jurídicos’.

La formación teórica se completará con distintas actividades prácticas, como la exploración de transacciones en una blockchain o la programación de un Smart Contract en Solidity.

Yo impartiré el módulo de Identidad Digital.

He mencionado en otras ocasiones alguna de las ediciones anteriores.