Archivo de la categoría: ENAC

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Organismos de evaluación de conformidad acreditados en el marco del Reglamento eIDAS


Se ha recopilado una lista de organismos de evaluación de conformidad (Conformity Assessment Bodies) definidos en el punto 18 del artículo 3 del Reglamento eIDAS (UE) 910/2014.

La lista es una herramienta informativa que no tiene en cuenta los evaluadores en proceso de acreditación.

Esta lista se actualizará según esté disponible la información proporcionada por los Organismos Nacionales de Acreditación de los Estados Miembros. En España. el organismo es ENAC (Entidad Nacional de Acreditación)

Si detecta un error, indíquelo por favor, al objeto de proceder a su subsanación.

Lista de organismos de evaluación de la conformidad definidos en el punto 13 del artículo 2 del Reglamento (CE) nº 765/2008 y acreditados como competentes para llevar a cabo las evaluaciones de conformidad de prestadores de servicios electrónicos de confianza cualificados y de los servicios de confianza que prestan, según lo dispuesto en el Reglamento eIDAS (UE) 910/2014

AUSTRIA (AT)

Conformity Assessment Body

  • Name: Zentrum für sichere Informationstechnologie – Austria (A-SIT)
  • URL to body: http://www.a-sit.at
  • Date of accreditation: 21.12.2016
  • URL to accreditation certificate: https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/product%20certification%20bodies.pdf
  • ‘de’ BMWFW-92.321/0180-I/12/2016 A-SIT_17065 (listed as Nr 23) ‘de’
  • Scope of accreditation:  https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/AA_0929_17065_A-SIT.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS:

CZECH REPUBLIC (CZ)

  • Name: CAI (Czech Accreditation Institute)
  • URL to body: http://www.cai.cz
  • Contact email: mail@cai.cz
  • URL to eIDAS accreditation scheme:

Conformity Assessment Bodies

  • Name: Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • URL to body: http://www.ezu.cz
  • Date of accreditation: 20.01.2017 (until 08.11.2018)
  • URL to accreditation certificate: ‘cz’ Certificate No .: 42/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
    • Qualified preservation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: http://ezu.cz/en/about-us/valid-certificates/

 

  • Name: Tayllor & Cox s.r.o.
  • Registration number: –
  • URL to body: https://www.tayllorcox.com
  • Date of accreditation: 06.02.2017 (until 06.02.2020)
  • URL to accreditation certificate: ‘cz’ Certificate No.: 67/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.tayllorcox.com/en/certification

GERMANY (DE)

  • Name: DAkkS (Deutsche Akkreditierungsstelle GmbH)
  • URL to body: http://www.dakks.de
  • Contact email: contact@dakks.de
  • URL to eIDAS accreditation scheme: –

Conformity Assessment Bodies

 

 

ITALY (IT)

 

Conformity Assessment Bodies

  • Name: BUREAU VERITAS Italia S.p.A.
  • URL to body: http://www.bureauveritas.it
  • Date of accreditation: 21.07.2016 (until 24.05.2019)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.009B
  • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
    • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.bureauveritas.it/home/clients/registro+aziende+certificate

 

  • Name: CSQA Certificazioni srl
  • URL to body: http://www.csqa.it/
  • Date of accreditation: 28.06.2016 (until 30.03.2018)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.014B
  • QTSP/QTS type(s) for which accreditation is granted:
  • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.csqa.it/Services/aziende-certificate

 

  • Name: IMQ S.p.A.
  • URL to body: http://www.imq.it/
  • Date of accreditation: 20.12.2016 (until 09.03.2021)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.005B
    • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.imq.it/opencmsIMQ/opencms/it/banca_dati/aziende.html

FuenteEIDAS Conformity Assessment Bodies

Contacto para consultas +34 91 782 48 55

ENAC acredita a la Brigada Provincial de Policía Científica de Avila


La Brigada Provincial de Policía Científica de la Policía Nacional de Ávila ha conseguido la acreditación de la identificación por huellas como laboratorio que “cumple con los requisitos” que exige la Unión Europea en los labores de identificación mediante este sistema.

Huellas-Certi-ENAC_

La Brigada Provincial de Policía Científica de Ávila ha superado de forma satisfactoria las auditorías efectuadas por la Entidad Nacional de Acreditación (ENAC) que regula los ‘Requisitos Generales para la competencia de los laboratorios de Ensayo y Calibración’.

Tras meses de trabajo y adaptación a las exigencias de la Unión Europea, la Brigada Provincial de Policía Científica de la Comisaría de la Policía Nacional en Ávila ha obtenido la acreditación como Laboratorio que cumple con los requisitos de calidad que la Unión Europea exige en sus labores de identificación lofoscópica o por huellas dactilares.

 

La evaluación se alinea con la Norma UNE EN ISO/IEC 17025, sbre Evaluación de la conformidad. Requisitos generales para la competencia de los laboratorios de ensayo y de calibración.

La norma fija los criterios generales que se particularizan al ámbito específico que se acredita, en este caso, sobre los criterios de calidad que deberán cumplir los laboratorios de Policía Científica para que los resultados de sus investigaciones tengan validez en el resto de los países de la Unión Europea. Con la acreditación  la Brigada Provincial de Policía Científica de la Comisaría de la Policía Nacional en Ávila podrá seguir perteneciendo a la ENFSI (RED Europea de Institutos de Ciencias Forenses).

Como consecuencia, los estudios realizados por el laboratorio acreditado en el marco del análisis de pruebas forenses serán válidos en todos los paises europeos, según lo dispone  la normativa europea. Los análisis realizados deben ser reproducibles en cualquier laboratorio español o de la UE, que deberían llegar a las mismas conclusiones, garantizando la objetividad de los resultados obtenidos.

CNP-ENAC-Avila

 

AENOR publica la serie de normas UNE-EN 419211


La entrada en vigor del nuevo reglamento #eIdAS se acompasa con la publicación de diferentes normas técnicas relativas a la gestión de las firmas electrónicas y otros servicios electrónicos de confianza digital, de gran alcance, especialmente en Europa.

El nuevo marco legal europeo es homogéneo, aunque inestable en el momento actual mientras se esperan normas legales complementarias y la publicación de los estándares de nueva nomenclatura, basados con frecuencia en normas técnicas ya existentes.

Recientemente AENOR ha publicado la serie de normas UNE-EN 419211 “Perfiles de protección para los dispositivos seguros de creación de firma”, que se compone de 6 partes que tratan distintos tipos de dispositivos cualificados de creación de firma, especifica los requisitos operacionales y funcionales y los objetos de evaluación para los perfiles de protección de estos dispositivos.

De acuerdo con el Reglamento Europeo (UE) Nº 910/2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS), y su desarrollo a través de la Decisión de Ejecución (UE) 2016/650 de la Comisión, estas normas serán utilizadas en la certificación de los dispositivos cualificados de creación de firma, cuando los datos de creación de firma electrónica o los datos de creación de sello electrónico se conserven íntegramente, aunque no necesariamente de forma exclusiva, en un entorno gestionado por el usuario.