Norma del CCN para firma en la nube

Los dispositivos cualificados de creación de firma son necesarios para producir firmas electrónicas y sellos electrónicos cualificados en el contexto del Reglamento 910/2014 (EIDAS).

Dada la lentitud del proceso de publicación en el seno del CEN (Comité Europeo de Normalización) de las normas de evaluación de conformidad de dispositivos cualificados de creación de firma que promovía el Reglamento EIDAS, en su artículo 30, en 2016 el Centro Criptológico Nacional (CCN) impulsó la publicación de una norma propia a lo que le autorizaba el propio artículo 30 en su apartado 3-b.

En efecto, el artículo 30 en su apartado 1 indica:

La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

Y en su apartado 3

La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo

(…)

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En abril de 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Sin embargo, esta norma solo hacía mención al marco de evaluación Common Criteria (ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 y a la norma de perfiles de protección de dispositivos seguros de creación de firma EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma, Partes 1 a 6), que pasaba de puntillas sobre los requisitos de firma en la nube (limitado a la parte  EN 419 211-5).

En base a la Directiva 1999/93/CE se había publicado en julio del año 2003 la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo que permitía contar con dispositivos seguros de creación de firma mientras evolucionaba el marco de normas técnicas de evaluacón de conformidad.

Dado el interés de algunas entidades españolas en certificar dispositivos cualificados de creación de firma (necesarios, por ejemplo, para finalizar el proyecto de DNI en la nube) el Centro Criptológico Nacional publicó en enero de 2017 la norma IT-009 -Remote Qualified Electronic Signature Creation Device Evaluation Methodology.

Esta norma se publicó al amparo del apartado 3-b del artículo 30 de EIDAS:

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

(…)

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

El documento recoge lo esencial de las normas técnicas en estado borrador en ese momento y posicionó a España en la punta de lanza de la evaluación de conformidad. Debe agradecerse al CCN esta labor proactiva que redunda en la competitividad de las empresas españolas del sector de la seguridad.

Por parte de TCAB (Trust Conformity Assessment Body) fué un privilegio el que pudiéramos colaborar en los trabajos preparatorios previos a la publicación de la norma.

Anteproyecto de Real Decreto de desarrollo de las leyes 39 y 40/2015

Se inicia la fase de trámite de audiencia e información pública del anteproyecto de «Real Decreto por el que se desarrollan la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en materia de actuación y funcionamiento del sector público por medios electrónicos» que permite remitir comentarios hasta el próximo 15 de junio de 2018.

Los trámites de audiencia e información pública tienen por objeto recabar la opinión de los ciudadanos titulares de derechos e intereses legítimos afectados por un proyecto normativo ya redactado, directamente o a través de las organizaciones o asociaciones que los representen, así como obtener cuantas aportaciones adicionales puedan realizar otras personas o entidades.

Para el ámbito de la administración electrónica y la transformación digital resulta de especial importancia el citado Proyecto de Real Decreto, por lo que es de agradecer la oportunidad abierta a realizar sugerencias y aportaciones.

El texto de este proyecto de Real Decreto y su MAIN (Memoria del Análisis de Impacto Normativo) se encuentran disponibles a través de la web del Ministerio de Hacienda y Función Pública:

http://www.minhafp.gob.es/es-ES/Normativa%20y%20doctrina/NormasEnTramitacion/Paginas/normasentramitacion.aspx

Políticas marco de firma electrónica

El 2 de diciembre de 2015, el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) aprobó la Guía de Interoperabilidad y Seguridad (GIS) de Autenticación, Certificados y Firma Electrónica en la Administración de Justicia en España, que constituye de facto la «Política Marco de Firma Electrónica para la Administración de Justicia».

El objeto de esta norma es servir como guía en lo relativo a la gestión de firmas electrónicas en el ámbito de la justicia, así como tomar en consideración los conceptos conexos de autenticidad de documentos electrónicos y uso de certificados en el marco de la identificación y autenticación de intervinientes cuando no se precise el uso de firma electrónica.

Es de aplicación a la Administración de Justicia, a los ciudadanos en sus relaciones con ella y a los profesionales que actúen en su ámbito, así como a las relaciones entre aquélla y el resto de Administraciones y organismos públicos.

La administración de Justicia es la estructura de la administración específica para el Poder Judicial, que es un poder diferente al Ejecutivo y lo es también la infraestructura administrativa que le da soporte.

En el ámbito de la Administración Pública, la Administración General del Estado ha desarrollado diversa normativa destinada  favorecer la digitalización de su funcionamiento. En su momento, uno de los hitos principales de ese proceso de digitalización lo constituyó la publicación de la Ley 11/2007 que suplementaba lo dispuesto en la Ley 30/1992. En el año 2015 se publicaron las leyes siamesas Ley 39/2015 y Ley 40/2015 (subsumiendo las dos leyes citadas), un año después de la publicación del Reglamento europeo UE 910/2014 (EIDAS) y teniendo ya en cuenta bastantes de los aspectos de la norma europea.

Por su lado, en la Administración de Justicia se ha desarrollado la Ley 18/2011 a semejanza de la Ley 11/2007 y se han modificado las leyes procesales, con cambios significativos en 2015.

En el ámbito de la AGE, dentro del Esquema nacional de Interoperabilidad  se ha desarrollado una política marco de firma electrónica que ha consolidado la experiencia de  las versiones 1.8 y 1.9. La actual, Política 2.0 se publicó en el BOE de 2 de noviembre de 2016.

• Resolución de 27 de octubre de 2016, de la Secretaría de Estado de
  Administraciones Públicas, por la que se aprueba la Norma Técnica de
  Interoperabilidad de Política de Firma y Sello Electrónicos y de Certificados de
  la Administración.

En su contexto es muy importante una norma complementaria que ayuda a uniformizar la interoperabilidad de los certificados en España.

• Perfiles de certificados electrónicos 2.0

En el ámbito de la AJU, dentro de las Bases del Esquema Judicial de Interoperabilidad y Seguridad  se ha desarrollado la política marco de firma electrónica del CTEAJE citada al inicio:

• CTEAJE-GIS-707-Autenticación, Certificados y Firma electrónica

Con sus similitudes y sus diferencias, ambas Políticas son referentes de sus respectivas administraciones.

Diferencias de tratamiento de las firmas electrónicas entre el Anexo II del ENS y el Anexo II del EJIS

El apartado «5.7.4 Firma electrónica [mp.info.4]» del Anexo II de ENS se corresponde con el apartado «3.6.2. Firma electrónica [Mp.info.4]» del Anexo II de EJIS.

En el ENS, los aspectos de seguridad de la firma electrónica se recogen de la siguiente forma:

[mp.info.4].

dimensiones	I – A
nivel	bajo	medio	alto
	aplica	+	++

La firma electrónica es un mecanismo de prevención del repudio; es decir, previene frente a la posibilidad de que en el futuro el signatario pudiera desdecirse de la información firmada.

La firma electrónica garantiza la autenticidad del signatario y la integridad del contenido.

Cuando se emplee firma electrónica:

a) El signatario será la parte que se hace responsable de la información, en la medida de sus atribuciones.

b) Se dispondrá de una Política de Firma Electrónica, aprobada por el órgano superior competente que corresponda.

Nivel BAJO

Se empleará cualquier medio de firma electrónica de los previstos en la legislación vigente.

Nivel MEDIO

1. Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:

1. Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.
2. Se emplearán, preferentemente, certificados reconocidos.
3. Se emplearán, preferentemente, dispositivos seguros de firma.

2. Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:

a) Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación:

1.º Certificados.
2.º Datos de verificación y validación.

b) Se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.

c) El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b).

d) La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes a) y b).

Nivel ALTO

Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en la nivel Medio, además de las siguientes:

1. Se usarán certificados reconocidos.
2. Se usarán dispositivos seguros de creación de firma.
3. Se emplearán, preferentemente, productos certificados [op.pl.5].

En cambio, en el EJIS (Esquema Judicial de Interoperabilidad y Seguridad), el tratamiento es diferente:

[mp.info.4].

dimensiones	I – A – Cs
nivel	bajo	medio	alto
	aplica	+	++

Se empleará la firma electrónica como un instrumento capaz de permitir la comprobación de la vinculación entre el firmante y el contenido firmado, y de establecer la presunción de que existió intención de firmar, es decir, prestación del consentimiento en el sentido que se determine por el contexto (por ejemplo conformidad en recibir una notificación aunque no haya conformidad respecto al contenido de la notificación).

Asimismo la firma electrónica debe permitir detectar modificaciones del contenido firmado si se producen.

NIVEL BAJO

Se empleará cualquier tipo de firma electrónica de los previstos en la legislación vigente.

NIVEL MEDIO

Se emplearán sistemas de firma electrónica avanzada.

Cuando se empleen sistemas de firma basados en certificados, estos serán preferentemente cualificados, según lo dispuesto en el Reglamento europeo UE 910/2014, de 23 de julio, y las normas técnicas publicadas en su desarrollo.

Cuando se reciban firmas basadas en certificados se comprobará su validez tan pronto como sea posible y, una vez bajo la custodia del sistema de gestión procesal se considerarán válidas indefinidamente sin ulteriores comprobaciones tecnológicas. Para ello se adjuntará a la firma, o se referenciará, toda la información pertinente para su fechado, verificación, validación y comprobación de la confiabilidad del prestador de servicios de confianza digital que expidió el certificado.

Cuando se emitan firmas basadas en certificados se incluirá en la firma la información del momento en que se han completado los procesos técnicos básicos de la firma y la información sobre su validez tan pronto como sea posible y, una vez bajo la custodia del sistema de gestión procesal se considerarán válidas indefinidamente sin ulteriores comprobaciones tecnológicas. Solo se usarán certificados expedidos por prestadores de servicios de confianza digital que figuren en la lista TSL de la Unión Europea (según lo dispuesto en el artículo 22 del Reglamento europeo 910/2014, de 23 de julio) y simultáneamente en la lista AATL cuando los documentos se firmen sobre el formato PDF.

Cuando se empleen sistemas de firma electrónica avanzada no basados en certificado se deberá garantizar el cumplimiento de los requisitos del artículo 26 del Reglamento europeo UE 910/2014, de 23 de julio y que los datos de creación de firma están cifrados, salvo puntualmente en caso de prueba pericial y solo si para realizarla fuera preciso que el perito accediera a dichos datos.

NIVEL ALTO

Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en el nivel Medio, además de las siguientes:

1. Cuando las firmas se basen en certificados, se usarán certificados cualificados y dispositivos cualificados de creación de firma.
2. Se emplearán, preferentemente, productos certificados según lo indicado en [op.pl.5].

Seminario sobre Ley 39/2015 y Reglamento UE 910/2014

El 1 de julio de 2016 entra en vigor la parte más relevante del Reglamento UE 910 2014. Poco después, el 2 de octubre de 2016 entra en vigor una parte muy significativa de la Ley 39/2015 (hay también aspectos relevantes, de implantación más costosa que cuentan con un plazo mayor: 2 de octubre de 2018).

Sin embargo, a pesar de que muchos aspectos del Reglamento Europeo se han tenido en cuenta en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas (PACAP), otros no.

Por ejemplo lo referido a la firma electrónica de las personas jurídicas y de las entidades sin personalidad jurídica.

Dado que el citado Reglamento tiene un nivel de precedencia normativa superior a la Ley, puede ser útil identificar los aspectos más controvertidos para afrontar de forma correcta la adaptación.

Este seminario, que imparto a través de Atenea Interactiva en formato de formación «in-company» especialmente orientada a entidades del sector público lo voy enriqueciendo gracias a las dudas y a las aportaciones de los asistentes.

Estos son algunos de los aspectos tratados:

• Identificación y autenticación. Nuevo contexto para trámites sin uso de la firma electrónica.
• Interoperabilidad de la firma electrónica a nivel europeo.
• Nuevas normas técnicas de identificación, firma electrónica, sello electrónico y otros servicios de confianza digital
• Interacción con otras normas: Ley 18/2001, Ley 40/2015, Real Decreto Legislativo 3/2011.
• Obligados. Nuevas obligaciones para personas jurídicas y ciertos colectivos profesionales.
• Novedades en relación con el cómputo de plazos, y efecto en los plazos del Registro electrónico
• Asistencia en el uso de medios electrónicos. Funcionarios habilitados
• Uso de códigos seguros de veriicación. Sugerencia sobre CSV con informaicón de encaminamiento.
• Sedes electrónicas y portales. Nuevo enfoque hacia la concentración de servicios en portales.
• Copia auténtica de documentos y digitalización certificada. Gestión híbrida. Funcionarios habilitados
• Archvo unificado
• Poderes y representación. Nuevo poder «apud acta» electrónico. Retos para gestión de otorgamiento y revocación de poderes. Ideas para la implementación del registro elecrónico de poderes de representación. Otorgantes (representados) y apoderados (representantes).
• Notificaciones. Retos de la notificación electrónica. Notificaciones por publicación en BOE.
• Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
• Herramientas disponibles en el marco de la transferencia electrónica entre administraciones. Cl@ve, DIR3, DNIe 3.0 (NFC).
• Nuevos retos: firma digtalizada, digitalización certificada, cotejo interoperable de documento en base a  CSV en sede electrónica diferente de la que lo expidió.

Pueden contactar con Atenea Interactiva en el 917160555 si desean que este seminario se imparta en su institución. Se imparte en una sola jornada, de 9:00 a 14:30. Preferiblemente los viernes.

 

 

Resumen del Esquema Judicial de Interoperabilidad y Seguridad (EJIS) y diferencias respecto al ENS y al ENI

Recientemente el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica) ha publicado las bases del Esquema Judicial de Interoperabilidad y Seguridad .

El texto de las bases del Esquema Judicial de Interoperabilidad y Seguridad (EJIS) está disponible en el Portal de la Administración de Justicia desde 6 de julio de 2015.

Este documento se alinea con el marco del Plan para la aceleración de la Justicia en entornos digitales del Ministerio de Justicia, y su publicación se realiza apurando el plazo previsto en la Disposición adicional tercera, de la Ley 18/11, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia.

Lo ha elaborado el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica)  para garantizar la interoperabilidad entre los sistemas al servicio de la Administración de Justicia, desplegados por las Administraciones con competencia en materia de Administración de Justicia.

El CTEAJE es un órgano que copreside el Ministerio de Justicia junto con el Consejo General del Poder Judicial (CGPJ), ejerciendo en estos momentos la presidencia el Secretario General de la Administración de Justicia, y del que también forman parte la Fiscalía General del Estado y las Comunidades Autónomas con competencias en materia de Justicia.

El EJIS (Esquema Judicial de Interoperabilidad y Seguridad) se inspira en el Esquema Nacional de Interoperabilidad (ENI) y en el Esquema Nacional de Seguridad (ENS), con algunas diferencias determinadas por las leyes procesales y la Ley marco de la digitalización de la Justicia, la Ley 18/11, de 5 de julio, que singulariza para el ámbito de la Justicia algunas de las principales aportaciones de la Ley 11/2007.

Algunas de las diferencias más reseñables respecto al ENI (RD 4/2010) son las siguientes:

• Catálogo de Estándares: EJIS presenta compatibilidad con los formatos utilizados en el marco de AGE (Administración General del Estado). Además, permite al CTEAJE definir el suyo si se diera el caso.
• Interoperabilidad: La redacción del EJIS es aclaratoria de las dimensiones de la interoperabilidad del Esquema Nacional de Interoperabilidad centrado en el ámbito de la Administración de justicia (AJ) ya que tiene en cuenta las peculiaridades del ámbito de justicia en sus tres ámbitos (con la Administración de Justicia, con los ciudadanos y profesionales y con el resto de Administraciones Públicas)
• Inventarios de información Administrativa: En enfoque se centra en el «Test de Compatibilidad» catalogación de activos semánticos del ámbito de la Justicia gestionado desde hace varios años por el CGPJ (Consejo general del Poder Judicial) puesto que es preciso garantizar su alineamiento con las leyes procesales.
• Activos Semánticos del Test de Compatibilidad del CGPJ, modelo de datos lógico para conseguir un intercambio de información entre sistemas (asuntos, recursos y exhortos).
• Firma Electrónica:
  • Alineamiento con el Reglamento europeo UE 910/2014.
  • Política única de firma electrónica para toda la AJ (Administración de justicia).
  • Simplificación de certificados de firma y sello asociados a órganos judiciales.
  • Accesibilidad: admisión amplia de firmas de ciudadanos.
  • Diferencia la autenticación de la firma electrónica
  • Admisión de prestadores de cualquier país de la Unión Europea en base a la lista TSL.
• Digitalización Certificada: se contempla un procedimiento de homologación de soluciones de software para digitalización.
• Declaración de Conformidad: en la AGE consiste en una declaración genérica; en la AJ existe un índice de aspectos a cumplir con varios niveles de exigencia por lo que es posible declarar el cumplimiento de unos u otros e incluso acreditarlo con la posibilidad de realizar auditorías opcionales.
• Custodia Documental (Conservación): se indica la presunción de mantenimiento de integridad y autenticidad del EJE (Expediente Judicial Electrónico) y del DJE (Documento Judicial Electrónico), lo que afecta a la forma de custodiar las firmas electrónicas. Esa presunción implica la exigencia de adopción de medidas adecuadas de seguridad

Algunas de las diferencias más reseñables del EJIS respecto al ENS (RD 3/2010) son las siguientes:

• Categorías de los Sistemas:
  • EJIS añade la dimensión de seguridad «CONSERVACIÓN» que viene contemplada en la propia Ley 18/2011. El concepto de archivo judicial se extiende a períodos de conservación que en el ámbito administrativo se considerarían prescritos y sin necesidad de conservación.
  • Se aclara la forma de determinar los niveles de las dimensiones y las categorías.
• Auditoría: Se elimina la auditoria como requisito del EJIS, si bien se prevé un futuro desarrollo de los requisitos de seguridad en una futura Guia Técnica de Seguridad.
• Medidas de Seguridad:
  • Se mantienen las medidas de seguridad como marco de requisitos a cumplir por los órganos judiciales.
  • Se refuerza la exigencia de algunas medidas, en especial en firma electrónica y en custodia de evidencias electrónicas.
• Guía Técnica de Seguridad: se prevé la publicación de nueva norma específica para ampliar el detalle de la sección de seguridad del EJIS, que amplía la normativa de seguridad del Test de compatibilidad.
• Coordinación: el CTEAJE coordinará la gestión de incidentes entre los órganos que los sufran y los servicios prestados por el Centro Criptológico Nacional

Se puede ampliar información sobre estas cuestiones en esta presentación sobre la Modernización de la Administración de Justicia .

 

RD 951/2015: Cambios en el ENS (Esquema Nacional de Seguridad), para el desarrollo de la Administración Electrónica

El Consejo de Ministros del pasado viernes 23 de octubre de 2015 ha aprobado un Real Decreto 951/2015, de 23 de octubre que modifica el Real Decreto 3/2010 del 8 de enero de 2010, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. (actualización 04.11.2015, se indica ya el enlace al documento publicado en  el BOE)

El objeto de la modificación propuesta de la norma es reforzar la protección de las Administraciones Públicas frente a las «ciberamenazas» que deberán adaptarse a la rápida evolución de las tecnologías. La experiencia adquirida en la implementación del esquema nacional de seguridad desde 2010 aconseja consolidar algunos aspectos y tratar de evolucionar otros adecuando la actual normativa al contexto regulatorio internacional y europeo, en particular a lo previsto en el Reglamento comunitario UE 910 / 2014 en lo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

En definitiva, se trata de mantener actualizado el Esquema Nacional de Seguridad adoptando en cada momento los mecanismos que mejoren la respuesta en materia de seguridad de los sistemas tecnológicos utilizados en la Administración, en particular frente a  las ciberamenazas, y reforzando los servicios de confianza y la protección para las transacciones electrónicas.

Las administraciones públicas tendrán un un plazo de veinticuatro meses, para adecuar sus sistemas informáticos al nuevo marco regulatorio.

Estrategia de Ciberseguridad

El esfuerzo realizado para la actualización del Esquema Nacional de Seguridad responde al Objetivo I de la Estrategia de Ciberseguridad Nacional que se refiere a «Garantizar que los Sistemas de Información y Telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia», así como a los principios generales previstos en la Ley 40/2015 de Régimen Jurídico del Sector Público, que se refieren a la seguridad como un elemento clave para la interacción de las Administraciones Públicas por el medio electrónico.

Medidas adicionales

Para ello, se introducen en el Esquema Nacional de Seguridad, entre otras, las siguientes medidas adicionales:

• Introduce la gestión continuada de la seguridad en los servicios disponibles, por medios electrónicos veinticuatro horas al día.
• Especifica la necesidad de utilizar productos que tengan certificada la funcionalidad de seguridad que se corresponda con la categoría y nivel de seguridad del sistema afectado.
• Introduce los procedimientos de gestión de incidentes de seguridad y de debilidades detectadas en los elementos del sistema de información precisando el concepto de incidente de seguridad.
• Clarifica el papel del Centro Criptológico Nacional y del CCN-CERT, especificando que será necesaria la notificación a ellos de aquellos incidentes que tengan un impacto significativo en la seguridad de la información manejada y de los servicios prestados.
• Explicita y relaciona las instrucciones técnicas de seguridad, que serán de obligado cumplimiento por las Administraciones Públicas y que regularán el estado de seguridad, la auditoría de seguridad, la gestión de incidentes, la criptología, la interconexión y los requisitos de seguridad en entornos externalizados, entre otras.

Diferencias del EJIS respecto al ENI y al ENS

Recientemente el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica) ha publicado las bases del Esquema Judicial de Interoperabilidad y Seguridad de 6 de julio de 2015.

El EJIS (Esquema Judicial de Interoperabilidad y Seguridad) se inspira en el Esquema Nacional de Interoperabilidad (ENI) y en el Esquema Nacional de Seguridad (ENS), con algunas diferencias determinadas por las leyes procesales y la Ley marco de la digitalización de la Justicia, la Ley 18/11, de 5 de julio, que singulariza para el ámbito de la Justicia algunas de las principales aportaciones de la Ley 11/2007.

Algunas de las diferencias más reseñables respecto al ENI (RD 4/2010) son las siguientes:

• Catálogo de Estándares: EJIS presenta compatibilidad con los formatos utilizados en el marco de AGE (Administración General del Estado). Además, permite al CTEAJE definir el suyo si se diera el caso.
• Interoperabilidad: La redacción del EJIS es aclaratoria de las dimensiones de la interoperabilidad del Esquema Nacional centrado en el ámbito de la Administración de justicia (AJ) ya que tiene en cuenta las peculiaridades del ámbito de justicia en sus tres ámbitos (con la Administración de Justicia, con los ciudadanos y profesionales y con el resto de Administraciones Públicas)
• Inventarios de información Administrativa: En enfoque se realiza sobre el Test de Compatibilidad del CGPJ (Consejo general del Poder Judicial) dado que los procedimientos serán los que figuren en los inventarios de información judicial de acuerdo con las leyes procesales y el Test de Compatibilidad.
• Activos Semánticos del Test de Compatibilidad del CGPJ, modelo de datos lógico para conseguir un intercambio de información entre sistemas (asuntos, recursos y exhortos).
• Firma Electrónica:
  • Alineamiento con el Reglamento europeo UE 910/2014.
  • Política única de firma electrónica para toda la AJ (Administración de justicia).
  • Simplificación de certificados de firma y sello asociados a órganos judiciales.
  • Accesibilidad: admisión amplia de firmas de ciudadanos.
  • Diferencia la autenticación de la firma electrónica
  • Admisión de prestadores de cualquier país de la Unión Europea.
• Digitalización Certificada: se contempla procedimiento de homologación. No existe el concepto en la AGE, sólo digitalización «que garantizará la imagen fiel», en justicia se permite certificar el software con el que se digitaliza.
• Declaración de Conformidad: en la AGE es genérica dado que es una mera declaración; en la AJ hay un índice de aspectos de cumplimiento que permiten acreditarlo en mayor o menor medida.
• Custodia Documental (Conservación): se indica la presunción de mantenimiento de integridad y autenticidad del EJE (Expediente Judicial Electrónico) y del DJE (Documento Judicial Electrónico), acompañadas de medidas de seguridad

Algunas de las diferencias más reseñables del EJIS respecto al ENS (RD 3/2010) son las siguientes:

• Categorías de los Sistemas:
  • EJIS añade la dimensión de seguridad CONSERVACIÓN que viene contemplada en la propia Ley 18/2011. El concepto de archivo judicial se extiende a períodos de conservación que en el ámbito administrativo se considerarían prescritos y sin necesidad de conservación.
  • Se aclara la forma de determinar los niveles de las dimensiones y las categorías.
• Auditoría: Se elimina la auditoria como requisito del EJIS, ya que es una competencia del CGPJ.
• Medidas de Seguridad:
  • Se mantienen las medidas de seguridad como marco de requisitos a cumplir por los órganos judiciales.
  • Se refuerza la exigencia de algunas medidas, en especial en firma electrónica y en custodia de evidenciaselectrónicas.
• Guía Técnica de Seguridad: se prevé la publicación de nueva norma específica para ampliar el detalle de la sección de seguridad del EJIS, que amplia la normativa de seguridad del Test de compatibilidad.
• Coordinación: el CTEAJE coordinará la gestión de incidentes entre los órganos que los sufran y los servicios prestados por el Centro Criptológico Nacional

Se puede ampliar la información en esta interesante presentación sobre la Modernización de la Administración de Justicia

Certificado de sello de empresa para firmar facturas electrónicas que se envían a FACE

La Ley 25/2013, de 27 de diciembre, de impulso de la factura electrónica y creación del registro contable de facturas en el Sector Público contiene varios aspectos muy interesantes.

En su artículo 5 se refiere al Formato de las facturas electrónicas y su firma electrónica, y en su apartado 2 dice lo siguiente:

2. También se admitirá el sello electrónico avanzado basado en un certificado reconocido que reúna los siguientes requisitos:

a) El certificado deberá identificar a la persona jurídica o entidad sin personalidad jurídica que selle la factura electrónica, a través de su denominación o razón social y su número de identificación fiscal.

b) La solicitud del sello electrónico avanzado podrá formularse bien mediante comparecencia presencial de una persona física que acredite su representación, bien por medios electrónicos mediante el DNI electrónico y la remisión de los documentos que acrediten su poder de representación en formato papel o electrónico.

El sello electrónico es el conjunto de datos en forma electrónica, consignados o asociados con facturas electrónicas, que pueden ser utilizados por personas jurídicas y entidades sin personalidad jurídica para garantizar el origen y la integridad de su contenido.

Esta norma ha sido una adaptación anticipada al Reglamento europeo – Identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior que se ha aprobado hace pocos meses en el Parlamento Europeo.

Las definiciones de su artículo 3, recogen, entre otras, las siguientes:

	(24)	«creador de un sello», una persona jurídica que crea un sello electrónico;
	(25)	«sello electrónico», datos en formato electrónico anejos a otros datos electrónicos, o asociados de manera lógica con ellos, para garantizar el origen y la integridad de los datos asociados;
	(26)	«sello electrónico avanzado», un sello electrónico que cumple los requisitos siguientes: a) estar vinculado al creador del sello de manera única; b) permitir la identificación del creador del sello; c) haber sido creado utilizando datos de creación del sello electrónico que el creador del sello puede utilizar para la creación de un sello electrónico, con un alto nivel de confianza, bajo su control exclusivo, y d) estar vinculado con los datos a que se refiere de modo tal que cualquier modificación ulterior de los mismos sea detectable;
	(27)	«sello electrónico cualificado», un sello electrónico avanzado que se crea mediante un dispositivo cualificado de creación de sellos electrónicos y que se basa en un certificado cualificado de sello electrónico;
	(28)	«datos de creación del sello electrónico», los datos únicos que utiliza el creador del sello electrónico para crearlo;
		(29 ) « ▌certificado de sello electrónico», una declaración electrónica que vincula los datos de validación de un sello con una persona jurídica y confirma el nombre de esa persona ;
	(30)	«certificado cualificado de sello electrónico», un certificado de sellos electrónicos que ha sido expedido por un prestador cualificado de servicios de confianza y que ▌ cumple los requisitos establecidos en el anexo III;
	(31)	«dispositivo de creación de sellos electrónicos», un equipo o programa informático configurado que se utiliza para crear un sello electrónico;
	(32)	«dispositivo cualificado de creación de sellos electrónicos », un dispositivo de creación de sellos electrónicos que cumple mutatis mutandis los requisitos enumerados en el anexo II;

Y la sección sobre sellos electrónicos (a partir del artículo 34 señala:)

Artículo 34

Efectos jurídicos del sello electrónico

1.  No se denegarán los efectos jurídicos y la admisibilidad como prueba en procedimientos judiciales de un sello electrónico por el mero hecho de ser un sello electrónico o de no cumplir los requisitos del sello electrónico cualificado .

2.  Un sello electrónico cualificado disfrutará de ▌la presunción de ▌integridad de los datos y de la corrección del origen de los datos a los que el sello electrónico cualificado esté vinculado.

3.  Un sello electrónico cualificado basado en un certificado cualificado emitido en un Estado miembro será reconocido como un sello electrónico cualificado en todos los demás Estados miembros.

Artículo 35

Sellos electrónicos en servicios públicos

1.  Si un Estado miembro impone un sello electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicas avanzados basados en un certificado reconocido para los sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos contemplados en el apartado 5.

2.  Si un Estado miembro impone un sello electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo del sector público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos contemplados en el apartado 5.

3.  Los Estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo del sector público, un sello electrónico cuyo nivel de seguridad sea superior al de un sello electrónico cualificado.

4.  ▌La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados . Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el punto 26 del artículo 3 cuando un sello electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 46, apartado 2. La Comisión publicará estos actos en el Diario Oficial de la Unión Europea.

5.  A más tardar el … (21) , y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 46, apartado 2.

Artículo 36

Certificados cualificados de sello electrónico

1.  Los certificados cualificados de sello electrónico cumplirán los requisitos establecidos en el anexo III.

2.  Los certificados cualificados de sello electrónico no estarán sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el anexo III.

3.  Los certificados cualificados de sellos electrónicos podrán incluir atributos específicos adicionales no obligatorios. Esos atributos no afectarán a la interoperabilidad y reconocimiento de los sellos electrónicos cualificados.

4.  Si un certificado cualificado de sello electrónico ha sido revocado después de su activación inicial, perderá su validez desde el momento de su revocación y no podrá en ninguna circunstancia recuperar su estado ▌.

5.  Según las condiciones expuestas a continuación, los Estados miembros podrán fijar normas nacionales sobre la suspensión temporal de certificados cualificados de sello electrónico:

	a)	Si un certificado cualificado de sello electrónico ha sido suspendido temporalmente, ese certificado perderá su validez durante el periodo de suspensión.
	b)	El periodo de suspensión se indicará claramente en la base de datos certificada y el estatuto de suspensión será visible, durante el período de suspensión, a partir del servicio que proporcione la información sobre el estatuto del certificado.

6.  La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los certificados cualificados de sello electrónico. Se presumirá el cumplimiento de los requisitos establecidos en el anexo III cuando un certificado cualificado de sello electrónico se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 46, apartado 2. ▌

Artículo 37

Dispositivos de creación de sellos electrónicos cualificados

1.  El artículo 28 se aplicará mutatis mutandis a los requisitos de los dispositivos de creación de sellos electrónicos cualificados.

2.  El artículo 29 se aplicará mutatis mutandis a la certificación de los dispositivos de creación de sellos electrónicos cualificados.

3.  El artículo 30 se aplicará mutatis mutandis a la publicación de una lista de dispositivos de creación de sellos electrónicos cualificados certificados.

Artículo 38

Validación y conservación de los sellos electrónicos cualificados

Los artículos 31, 32 y 33 se aplicarán mutatis mutandis a la validación y conservación de los sellos electrónicos cualificados.

Con esta normativa, parece claro que los certificados idóneos para firmar facturas, en el momento actual, son los de sello electrónico de empresa.

Sin embargo, pese a lo indicado en el artículo 6. Punto general de entrada de facturas electrónicas, en su apartado 3:

3. El punto general de entrada de facturas electrónicas permitirá el envío de facturas electrónicas en el formato que se determina en esta Ley. El proveedor o quien haya presentado la factura podrá consultar el estado de la tramitación de la factura.

Lo cierto es que por algún ignorado motivo, el FACE (Punto General de Entrada de Facturas Electrónicas de la Administración General del Estado) no admite facturas firmadas haciendo uso de certificados de sello de empresa.

Si alguien lo sabe, se agradece que lo indique en los comentarios del artículo.

Mientras, continuaré estudiando la interesante información publicada en el portal de la administración electrónica, sobre el FACE. Si encuentro la razón actualizaré el artículo.

¿Es aplicable la Ley 11/2007 a los colegios profesionales? ¿Y a las cámaras de comercio?

El Artículo 2 (Ámbito de aplicación) de la Ley 11/2007 y su disposición adicional primera  especifican las administraciones publicas obligadas en relación con el despliegue de infraestructuras y procedimientos electrónicos para atender el derecho de los ciudadanos consagrado por dicha ley  a relacionarse con las Administraciones Públicas por medios electrónicos.

Dado que los colegios profesionales y las consejos generales son corporaciones de derecho público (por cierto, también entran en esta categoría las cámaras de comercio y las federaciones deportivas), se aplica de forma restrictiva la normativa administrativa, aunque están sujetas al derecho privado.

Son personas jurídicas que adoptan forma asociativa, creadas, no por un pacto, sino por una ley que determina sus fines, estructura y funcionamiento.

La pertenencia a estas corporaciones es obligatoria para todos aquellos que pretendan ejercer determinadosderechos (p. ej., el ejercicio de una profesión en el caso de los colegios profesionales). La cualidad de miembros se determina en base a una condición objetiva, relacionada con el fin corporativo de que se trate: p. ej., una cualidadprofesional (V. Colegios Profesionales), la cualidad de comerciante o industrial (Cámaras de Comercio, Industria yNavegación), regante de un aprovechamiento colectivo de aguas públicas (V. comunidades de regantes), etc.

Por todo ello, puede afirmarse que la Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, no es de aplicación a los Colegios Profesionales (ni a las Cámaras de Comercio).