Archivo de la categoría: Firma Electrónica

Confusión en torno a los dispositivos cualificados de creación de firma y sello electrónicos


He detectado un error difundido entre especialistas en firma electrónica y certificación en relación con los requisitos que existen en el marco del EIDAS (Reglamento UE 91/2014) para que un dispositivo de creación de sello electrónico o de firma electrónica tenga la consideración de cualificado.

El error probablemente procede de una respuesta a preguntas frecuentes publicada en la página web de la Secretaría de Estado de Avance Digital, Organismo Supervisor del sector de los servicios de confianza y de la certificación.

La pregunta es:

¿Qué es un dispositivo cualificado de creación de firma / de sello electrónico?

Y la respuesta publicada por la SEAD dice:

Un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. Asimismo, un dispositivo cualificado de creación de sello electrónico es aquel que cumple, mutatis mutandis, los requisitos indicados en el anexo II del Reglamento (UE) 910/2014.

De acuerdo con el artículo 30 del Reglamento (UE) 910/2014, la certificación es una condición sine qua non para la consideración de un dispositivo de creación de firma o sello electrónico como cualificado. La citada certificación obligatoria, que atestiguará el cumplimiento de los requisitos establecidos en el anexo II del citado Reglamento, podrá ser únicamente llevada a cabo por los organismos europeos designados al efecto de acuerdo con su artículo 30.2, en concreto en España, el Centro Criptológico Nacional.

La lista de dispositivos cualificados que han sido notificados a la Comisión Europea por parte de los Estados miembros en virtud del artículo 31 del Reglamento (UE) 910/2014 contiene, en consecuencia, todos aquellos dispositivos que han sido certificados, por lo que cualquier otro dispositivo que no figure en la citada lista no tiene la consideración de dispositivo cualificado.

Puede encontrar información actualizada sobre la lista de organismos europeos de certificación y la lista de dispositivos cualificados de creación de firma y sello en la página de la Comisión Europea.

Sin embargo, si leemos detalladamente el Reglamento EIDAS, lo que dice es bien distinto:

Artículo 29

Requisitos de los dispositivos cualificados de creación de firmas electrónicas

1.   Los dispositivos cualificados de creación de firmas electrónicas cumplirán los requisitos establecidos en el anexo II.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los dispositivos cualificados de creación de firmas electrónicas. Se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 30

Certificación de los dispositivos cualificados de creación de firmas electrónicas

1.   La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1. La Comisión pondrá la información a disposición de los Estados miembros.

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

4.   La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 47, en lo que respecta al establecimiento de criterios específicos que deben satisfacer los organismos designados a que se refiere el apartado 1 del presente artículo.

Como puede apreciarse, lo que dice el Reglamento (art 29) es que se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas norma, no que sea una condición “sine qua non”. Es decir, puede haber otras formas de demostrar los requisitos establecidos en el anexo II. De  hecho, los requisitos del Anexo II son esencialmente los mismos que se incluían en el Anexo III de la Directiva 1999/93:

ANEXO III – Directiva 1999/93

Requisitos de los dispositivos seguros de creación de firma electrónica

1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto;

b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;

c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.

2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA (Reglamento EIDAS)

1.

Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;

b) los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;

c) exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;

d) los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.

2.

Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.

3.

La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.

4.

Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

La similitud de requisitos entre el Anexo III de la Directiva y el Anexo II del Reglamento se ha reflejado en el artículo 51.1 del EIDAS:

1.   Los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a lo dispuesto en el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento.

En el contexto de la Directiva, inicialmente los dispositivos considerados dispositivos seguros de creación de firma electrónica eran los certificados en el ámbito del NIST. Inicialmente los FIPS-140-1 y posteriormente los FIPS 140-2 desde el 25 de mayo de 2001.

Hasta el año 2001 no existió una norma equivalente en el contexto europeo. En esa fecha se crearon en el CEN (Comité Europeo de Normalización) los borradores de las normas CWA 14167, CWA 14168 y CWA 14169 que finalmente se aprobaron en su versión final en el 2004. En el año 2003 se publicó la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo

Estos son los dispositivos a los que hace referencia el artículo 3, apartado 4, de la Directiva 1999/93/CE

Y en todo el  tiempo desde la publicación de la Directiva (1999) hasta la publicación de esta Decisión el cumplimiento del Anexo III se suponía que se llevaba a cabo por dispositivos certificados  FIPS-140-1 y s FIPS 140-2.

Tras la entrada en vigor del Reglamento EIDAS (publicado en 2014) pasó un tiempo sin que se aprobaran los nuevos estándares, por lo que siguieron siendo válidos los dispositivos seguros de creación de firma de la Directiva 1999/93.

En aplicación del apartado 3-b del artículo 30 cabía definir un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso hiciera uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notificaran ese proceso a la Comisión. Solo podía recurrirse a ese proceso  a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

España definió un proceso propio al amparo del apartado 3-b que se recogió en la “List of alternative processes notified to the Commission in accordance with Article 30.3(b) and 39.2 of the eIDAS Regulation (EU) No 910/2014

El documento de metodología definido por le Centro Criptológico Nacional “IT-009 – Remote Qualified Electronic Signature Creation Device Evaluation Methodology” se publicó en Enero de 2017, cuando ya empezaban a estar disponibles los borradores de las normas de evaluación de QSCD (Qualified Signature Cretion Device)

En 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

Una vez publicados los estándares quedaban sin efecto las normas transitorias.

Por resumir:

Hay varias circunstancias por las que un dispositivo tenga la consideración de cualificado:

Porque cumplía con el Anexo III de la Directiva:

  • FIPS-140-1 y FIPS-140-2
  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

Porque cumple con el anexo II del Reglamento:

  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma EN 419211 (partes 1 a 6) Según la DECISIÓN DE EJECUCIÓN (UE) 2016/650 
  • Normas transitorias en aplicación del art. 30 2 b del EIDAS (como la IT-009 del CCN)
  • Normas transitorias en aplicación del art. 51.1 del EIDAS: Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

 

Manufirmatio


Al tratar la firma electrónica con espíritu enciclopédico, es inevitable referirse a diferentes etapas históricas en las que los usos y costumbres eran otras, pero en las que se sentaron las bases de la evolución de la firma.

Una de las referencias puede ser la que, en el Fuero Juzgo, trataba sobre la forma de comprobar las firmas o signos en caso de controversia.

Otra, sin duda, el concepto de Manufirmatio con el que en la Antigua Roma se dotaba de solemnidad la vinculación del firmante con lo firmado, simbolizando la autenticidad del documento y de su voluntad de suscribirlo.

El Manufirmatio era una ceremonia en la que un documento se extendía sobre la mesa del escribano y el autor intelectual lo leía en presencia de otras personas. Tras la lectura, el autor pasaba la mano abierta sobre el documento a modo de juramento, aceptación o reconocimiento de su contenido y se le estampaba nombre, signo, y una o tres cruces por el autor, notarius y escribano. A continuación testigos presenciales hacían lo mismo.

 

¿Cual es el marco legal de la Digitalización certificada?


Inicialmente la Digitalización Certificada se refería al proceso que permite realizar  copias digitales de facturas en papel preservando el valor equivalente al original.

La norma que la define es la Orden EHA/962/2007:

En la actualidad, además de estar regulada la Digitalización Certificada de interés tributario, también existe normativa para la digitalización de documentos en las administraciones públicas y para para la digitalización de documentos susceptibles de ser remitidos por Lexnet y utilizables en la administración de justicia.

Un video de 9 minutos que explica lo esencial de la Digitalización Certificada (incluso los requisitos de auditoría) se incluye a continuación.

 

 

Nueva lista de CABs (Conformity Assessment Bodies) en Europa


A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

Auditorias para entidades financieras en el marco de la PSD2


PSD2-FintechEl despliegue de nuevos sistemas financieros digitales amparados por la normativa PSD2 (Segunda Directiva de Pagos) deberá cumplir lo indicado en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Su Artículo 3 establece:

Revisión de las medidas de seguridad

1. La aplicación de las medidas de seguridad a que se refiere el artículo 1 deberá documentarse, probarse periódicamente, evaluarse y auditarse de conformidad con el marco jurídico aplicable al proveedor de servicios de pago por auditores con experiencia en el ámbito de la seguridad y los pagos informáticos y funcionalmente independientes, ya pertenezcan al organigrama del propio proveedor de servicios de pago o sean externos a él.

2. El período entre las auditorías a que se refiere el apartado 1 se determinará teniendo en cuenta el correspondiente marco aplicable al proveedor de servicios de pago en materia de contabilidad y de auditoría legal.

No obstante, los proveedores de servicios de pago que se acojan a la exención a que se refiere el artículo 18 estarán sujetos, como mínimo con una periodicidad anual, a una auditoría de la metodología, el modelo y los índices de fraude notificados. El auditor que lleve a cabo dicha auditoría poseerá conocimientos técnicos en el ámbito de la seguridad y los pagos informáticos y será funcionalmente independiente, ya pertenezca al organigrama del propio proveedor de servicios de pago o sea externo a él. Durante el primer año de uso de la exención prevista en el artículo 18 y al menos cada tres años en lo sucesivo, o con mayor frecuencia si así lo solicita la autoridad competente, esta auditoría será llevada a cabo por un auditor externo cualificado e independiente.

tcab-logo-trust-conformity-assessment-body-bigTCAB es una entidad evaluadora de conformidad (en inglés, CAB, Conformity Assessment Body) que audita Prestadores de Servicios Electrónicos de Confianza en el marco del EIDAS y que cuenta con los profesionales adecuados especialistas en medios de pago idóneos para esa tarea. Contacte con TCAB (Trust Conformity Assessment Body) llamando al 91 388 0789

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

¿Qué documentación hay que presentar en la solicitud de homologación de un software de digitalización certificada?


La solicitud de homologación de un software de digitalización certificada, debe constar de:

  • Declaración responsable del cumplimiento de los requisitos exigidos en la Orden EHA/962/2007.
  • Informe emitido por una entidad de auditoría informática independiente, con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada, en el que se exprese la opinión acerca del cumplimiento por parte de la entidad solicitante, de las condiciones establecidas en la Orden citada anteriormente. Normalmente en la linea de la declaración responsable.
  • Documentación del sistema que se pretende homologar. En particular:
    • Descripción de las normas técnicas en las que se basa el procedimiento de digitalización certificada, así como los protocolos o normas y procedimientos de seguridad, de control y de explotación referidos a la creación y consulta de la base de datos documental.
    • Plan de Gestión de Calidad respecto a los procedimientos en base a los que se debe realizar el proceso de digitalización y firma eletrónica, de modo que vincule a los usuarios del sistema en cuanto a la adopción de mejores prácticas.

La referencia legal de la digitalización certificada, es el artículo 7 de la Orden EHA/962/2007

En el proceso es esencial el manejo de firmas electrónicas y mecanismos de protección del sistema de llevanza del proceso (la base de datos).

Para más información, contacte con EADTrust, en el 917160555