Archivo de la categoría: Identidad Digital

Orden Ministerial para favorecer la identificación a distancia en la expedición de certificados cualificados


Como ya se ha comentado en otras ocasiones en este blog, la identificación a distancia prevista en el apartado d) del artículo 24.1 del Reglamento EIDAS es esencial para lograr la generalización de la posesión y uso de certificados electrónicos, y de manera singular en tiempos de limitaciones de movilidad o indisponibilidad de los servicios presenciales de la administracion, como ha sucedido durante las fases de confinamiento por la pandemia COVID-19 y podría volver a suceder.

Pese a que ya existen diversas normas técnicas y legales que puede utilizar un CAB (Conformity Assessment Body) para valorar si un Prestador de Servicios Electrónicos de Confianza emplea métodos de identificación que aportan una seguridad equivalente en términos de fiabilidad a la presencia física, el hecho de que existiera una norma específicamente diseñada para ello, constituiría una ayuda inestimable, especialmente en cuanto supone una presunción del cumplimiento de la equivalencia de métodos de identificación.

En las semanas pasadas se han ido produciendo diferentes desarrollos legales que animan a pensar que finalmente se publicará en España una norma para ello, posiblemente una Orden Ministerial.

El 28 de febrero de 2020 se inició en el Congreso el trámite parlamentario necesario para la publicación de la futura “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”. En el borrador de la norma remitido al Congreso, el artículo 7.2 indicaba:

Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.

El texto que pasó al senado reflejaba una enmienda:

Reglamentariamente podrán determinarse otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.

Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, así como aquellos que se habiliten o se hayan habilitado, por organismos competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico, a los efectos de llevar a cabo una identificación no presencial por medios electrónicos o telemáticos. En especial, serán válidos, a los efectos de la comprobación de la identidad de los solicitantes de un certificado cualificado, los procedimientos autorizados para la identificación no presencial mediante videoconferencia o mediante video-identificación en el ámbito de la Prevención de Blanqueo de Capitales, de acuerdo con sus últimas estipulaciones.

Aunque el término “Reglamentariamente” puede interpretarse en el sentido de “dictar cuantas disposiciones sean precisas para su desarrollo”, hay opiniones que inducen a pensar que pudiera ser necesario un Real Decreto para ello, de gestión más compleya y larga que una orden Ministerial.

Por ello, podría ser conveniente modificar el texto en el trámite en el Senado para sustituir “Reglamentariamente” por “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital” para volver al espíritu de la Orden Ministerial.

Anticipándose a la finalización del proceso del trámite parlamentario de la “Ley reguladora de determinados aspectos de los servicios electrónicos de confianza”, que todavía puede requerir algunos meses, se publicó una modificación de la Ley 59/2003 que permitiría la Orden Ministerial, en el Real Decreto-ley 27/2020, de 4 de agosto.

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

Sin embargo, la Resolución de 10 de septiembre de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de derogación del Real Decreto-ley 27/2020, de 4 de agosto, de medidas financieras, de carácter extraordinario y urgente, aplicables a las entidades locales dejó sin efecto dicha modificación.

Más recientemente, con la publicación del Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia se ha incluido una nueva disposición que deja clara la determinación de publicar la Orden Ministerial

Disposición final quinta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

Se añade un nuevo apartado 6 al artículo 13 de la Ley 59/2003, de 19 de diciembre, de firma electrónica, con el siguiente tenor:

«6. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física.»

¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante por telepersonación?


Entre noviembre y diciembre de 2016 la Subdirección General de Servicios de la Sociedad de la Información, encuadrada en la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital, del Ministerio de Energía, Turismo y Agenda Digital llevó a cabo una consulta pública sobre la adaptación del Ordenamiento jurídico español al Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Tras la consulta se publicó un resumen cualitativo con las respuestas recibidas.

La Pregunta 2 de la consulta era: en relación con el artículo 24.1 d), ¿debe admitirse la expedición de certificados cualificados mediante la identificación del firmante mediante telepersonación? En caso afirmativo, ¿cómo propondría que se verificase que este medio de identificación ofrece una seguridad equivalente en términos de fiabilidad, a la identificación mediante personación?

Según el citado resumen (“Respuestas-anteproyecto-Ley-Servicios-Confianza“) la mayoría de los participantes coinciden en la admisión de métodos alternativos a la personación para identificar a los solicitantes de certificados cualificados y la gran mayoría coinciden en proponer al menos el sistema previsto por el SEPBLAC o una solución conforme a la norma ETSI EN 319 411-2.

Por aquellas fechas, el SEPBLAC autorizó adicionalmente los sistemas de videoidentificación para su entrada en vigor el 1 de enero de 2017.

Pese al consenso respecto a la adopción en el ámbito de la identificación remota para la expedición de certificados cualificados definidos en el Reglamento UE nº 910/2014 (EIDAS) de los sistemas de identificación autorizados por el SEPBLAC,  desde el año 2016 no se ha producido ningún avance en la admisión de estos métodos por el Organismo Supervisor español.

Hasta que en el contexto de la pandemia COVID-19 se publicó el Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La imposibilidad de personación ante las RAs de los Prestadores de Servicios de Certificación (especialmente ante la Agencia Tributaria, una de las principales redes de RA de la FNMT) estaba dificultando la obtención de certificados electrónicos con los que realizar trámites frente a las administraciones públicas en un momento en el que se tramitaban ERTES y se debían gestionar otros muchos trámites urgentes.

Después de tantos años, después de que en muchos países que aplican el EIDAS esté perfectamente normalizado la obtención de certificados de forma remota, en España esta opción no estaba admitida en la práctica.

En el citado Real Decreto-ley se incluye la disposición adicional undécima que autoriza transitoriamente la videoconferencia:

Durante la vigencia del estado de alarma, decretado por el Real Decreto 463/2020, de 14 de marzo, se permitirá la expedición de certificados electrónicos cualificados de acuerdo con lo previsto en el artículo 24.1.d) del Reglamento (UE) 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior. A tal efecto, el organismo supervisor aceptará aquellos métodos de identificación por videoconferencia basados en los procedimientos autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias o reconocidos para la expedición de certificados cualificados por otro Estado miembro de la Unión Europea. La equivalencia en el nivel de seguridad será certificada por un organismo de evaluación de la conformidad. Los certificados así emitidos serán revocados por el prestador de servicios al finalizar el estado de alarma, y su uso se limitará exclusivamente a las relaciones entre el titular y las Administraciones públicas.

Esta disposición coincide en el tiempo con el trámite parlamentario del Proyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza.

En estos momentos hay dos documentos publicados en la página web del Congreso de los Diputados en relación con este procedimiento legislativo:

  • BOCG. Congreso de los Diputados Núm. A-4-1 de 28/02/2020 Pág.: 1
    Iniciativa     texto íntegro     (PDF)
  • BOCG. Congreso de los Diputados Núm. A-4-2 de 30/04/2020 Pág.: 1
    Enmiendas e índice de enmiendas al articulado     texto íntegro     (PDF)

Afortunadamente hay algunas propuestas de enmiendas que tratan del asunto de la identificación a distancia previa a la expedición de certificados cualificados:

El Grupo Parlamentario Plural con la enmienda 17 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

Artículo 7. Comprobación de la identidad y otras circunstancias de los solicitantes de un certificado cualificado.

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital Reglamentariamente se determinarán las condiciones y requisitos técnicos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario.”

JUSTIFICACIÓN

El artículo 24 de ReIdAS establece que “Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado”, por lo que estamos de acuerdo con los artículos 6 y 7.

La fase de identificación es la base sobre la que se asienta la prestación de servicios de confianza en general, certificación en particular. En los últimos años están surgiendo algunas cuestiones sobre aspectos relacionados con esta, tanto en lo referente a la operativa (identificación telemática o por videoconferencia) como a la demostración de atributos específicos (como la representación, ya tratado en el artículo el punto 3 del artículo 7).

El punto 2 del artículo establece que “Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital se determinarán las condiciones y requisitos aplicables a la verificación de la identidad y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificados mediante otros medios de identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física”.

Si el objetivo de ReIdAS era el de garantizar la validez de los Servicios de confianza, en especial la de los certificados de firma, no tiene mucho sentido que estos criterios técnicos aplicables a la verificación de la identidad sean aprobados de forma unilateral por orden ministerial. Pensamos que dichas condiciones y requisitos deberían ser establecidas por otros estamentos a nivel europeo.

Por otra parte, nos gustaría que se estableciera algún tipo de procedimiento para hacer propuestas, o que hubiera algún tipo de vía de colaboración con los diferentes prestadores de servicios para estudiar las alternativas y las novedades existentes.

 

El Grupo Parlamentario Popular con la enmienda 37 propone modificar el apartado 2 del artículo 7 sugiriendo el siguiente texto:

“2. Por Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital podrán determinarse otras condiciones y requisitos técnicos de identificación a distancia que faciliten la adopción de dichos métodos y su evaluación de conformidad.

Igualmente, serán considerados métodos de identificación reconocidos a escala nacional, que aporten una seguridad equivalente en términos de fiabilidad a la presencia física, aquellos que se habiliten o se hayan habilitado, por Organismos Competentes, en cualquier otro ámbito de nuestro ordenamiento jurídico a los efectos de llevar a cabo una identificación por medios electrónicos y, en especial, la regulada en el ámbito de la prevención del Prevención de Blanqueo de Capitales.”

JUSTIFICACIÓN

La posibilidad de identificar a distancia las personas físicas está contemplada en el Reglamento eIDAS (art. 24.1.b) y no aceptar dicha posibilidad restringe el mercado de los prestadores españoles frente a prestadores de la UE que lo permiten ya.

De manera similar a todos los Estados Miembros, España ya tiene regulación reconocida a escala nacional que prevé la posibilidad de realizar identificación remota. Esta regulación está desarrollada en múltiples sectores (sujetos obligados) incluyendo el sector financiero, coordinada por el SEPBLAC en España y define requisitos técnicos y operacionales en nuestro marco regulatorio en la línea de lo que se ha definido en otros países europeos.

La utilización de una orden ministerial que regule aspectos adicionales, como información a incluir en el certificado, puede ser recomendable, pero la duplicación de regulación no es solo ineficiente, sino que puede dar lugar a problemas de inconsistencia entre el mercado financiero y los servicios de confianza incrementando la exposición al riesgo de usuarios y consumidores que no tendrán una experiencia de uso consistente y no detectarán tempranamente una implementación fraudulenta.

Existen numerosos ámbitos dentro de nuestro ordenamiento jurídico en que el distintos Organismos Públicos han aprobado o deberán aprobar normas, circulares y/o recomendaciones que habiliten mecanismo de identificación electrónica que tengan eficacia equivalente a la identificación de manera física. Por tanto, la Ley de Servicios de Confianza debería dar reconocimiento a todos estos sistemas.

Confiemos en que estas enmiendas se acepten y la identificación a distancia para la expedición de certificados cualificados quede consolidada en nuestro ordenamiento jurídico.

 

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.


El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

En el epígrafe “Modificación del teléfono aportando vídeo y documentación relacionada” se indica:

Avisos

  • Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
  • Puede obtener más información sobre este trámite pinchando aquí
  • En la documentación deberá presentar:
  • Copia del DNI/NIE por las dos caras.
  • En el caso de los NIE, copia de la primera hoja del pasaporte.
  • Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
  • Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
    • Nombre y apellidos.
    • DNI/NIE.
    • Trámite que quiere realizar.
    • Número de teléfono que quiere registrar.
    • Puede usar esta frase a modo de guion:
      “Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666” al tiempo que muestra el DNI/NIE por las dos caras.
      El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir “Video autorretratos grabados por los solicitantes” tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

¿Cuantos Prestadores de Servicios Electrónicos de Confianza Cualificados hay en Europa?


El dato va cambiando con el tiempo.

El 2018 había 182, en 2019 había 194. Mi estimación (porque no he hecho la cuenta) es que en 2020 se superan los 200.

En la cumbre europea “CA-Day” de 2019 se resumió el número de Prestadores de Servicios Electrónicos de Confianza Cualificado por paises en este mapa:

Una de las sorpresas en aquella reunión fue ver que España cuenta con el mayor número de Prestadores de Servicios Electrónicos de Confianza de Europa.

Material de estudio para la certificación profesional de Auditor EIdAS


Próximamente TCAB publicará más detalles sobre las jornadas de formación previstas en 2020 para la certificación profesional de Auditor EIdAS.

Ya se ha publicado el contenido previsto de la formación pero todavía no se han publicado las fechas para los exámenes de certificación y aspectos como los requisitos para ser Auditor EIdAS en el esquema de TCAB.

Quienes deseen prepararse para esta cualificación profesional pueden descargarse y utilizar como material de estudio las guías publicadas por ENISA.

Aunque el material está en inglés, a continuación se relacionan algunos de los documentos disponibles indicando también la traducción del título al español:

Certificados cualificados en el Reino Unido tras el Brexit, cambios al #eIdAS


Una vez que el Reino Unido abandone la Unión Europea, pasa a ser un tercer país, de modo que los prestadores de servicios electrónicos de confianza cualificados radicados en UK, dejarían de ser válidos como tales en Europa.

De todas formas, eso,  en realidad no va a suceder porque, según indica la lista de confianza expedida en agosto de 2019 y válida hasta febrero de 2020, no existen prestadores cualificados en UK compatibles con eIdAS.

Los prestadores que figuran en la lista TSL únicamente proporcionan servicios de confianza ajustados la legislación nacional del Reino Unido que ni siquiera tienen vocación de interoperabilidad con los europeos.

En el momento actual operan los siguientes prestadores:

La normativa británica Electronic Identification and Trust Services for Electronic Transactions Regulations 2016 se aprobó el 1 de julio de 2016, justo cuando entraba en vigor el Reglamento EIDAS y se aplicó a partir del 22 de julio. Su publicación se realizó con posterioridad al referendum del Brexit.

El texto está claramente inspirado en el EIDAS y revoca la normativa “The Electronic Signatures Regulations 2002”, al tiempo que modifica diversa normativa:

  • “Electronic Communications Act 2000”,
  • “Medicines for Human Use (Clinical Trials) Regulations 2004”,
  • “National Health Service (General Medical Services Contracts) (Scotland) Regulations 2004”,
  • “National Health Service (Primary Medical Services Section 17C Agreements) (Scotland) Regulations 2004”,
  • “Hazardous Waste (Wales) Regulations 2005”,
  • “Defence and Security Public Contracts Regulations 2011”,
  • “Human Medicines Regulations 2012”,
  • “National Health Service (Pharmaceutical and Local Pharmaceutical Services) Regulations 2013”,
  • “National Health Service (Pharmaceutical Services) (Wales) Regulations 2013”, l
  • “Reservoirs Act 1975 (Capacity, Registration, Prescribed Forms, etc.) (England) Regulations 2013”,
  • “Electronic Documents (Scotland) Regulations 2014”,
  • “European Union (Recognition of Professional Qualifications) Regulations 2015”,
  • “National Health Service (Charges for Drugs and Appliances) Regulations 2015”,
  • “National Health Service (General Medical Services Contracts) Regulations 2015”,
  • “National Health Service (Personal Medical Services Agreements) Regulations 2015”,
  • “Public Contracts Regulations 2015”,
  • “Public Contracts (Scotland) Regulations 2015”,
  • “Concession Contracts (Scotland) Regulations 2016”,
  • “Utilities Contracts Regulations 2016”,
  • “Utilities Contracts (Scotland) Regulations 2016”,

Posteriormente en 2018 se aprobó la normativa “The Electronic Identification and Trust Services for Electronic Transactions (Amendment etc.) (EU Exit) Regulations 2018”. Esta norma retiene el Reglamento UE 910/2014 (EIDAS) como propio, pero cambiando ciertos textos para que sea una normativa nacional.

En la modificación del artículo 24 establece que los servicios y prestadores cualificados en el marco de la normativa de la Unión Europea se reconocen como cualifcados en la normativa británica tras el Brexit.

Además se indica la derogación de diversa normativa que ya no será aplicable en el Reino Unido:

  • Commission Decision 2009/767/EC
  • Commission Decision 2010/425/EU
  • Commission Decision 2011/130/EU
  • Commission Implementing Decision 2013/662/EU
  • Commission Implementing Decision 2014/148/EU
  • Commission Implementing Decision (EU) 2015/296
  • Commission Implementing Regulation (EU) 2015/806
  • Commission Implementing Regulation (EU) 2015/1501
  • Commission Implementing Regulation (EU) 2015/1502
  • Commission Implementing Decision (EU) 2015/1505
  • Commission Implementing Decision (EU) 2015/1984

Se aplican, de forma modificada:

  • Commission Implementing Decision (EU) 2015/1506
  • Commission Implementing Decision (EU) 2016/650

Por resumir, el reconocimiento mutuo a nivel de medios de identificación y autenticación no proseguirá tras el Brexit, pero los servicios electrónicos de confianza cualificados de la Unión Europea seguirán siendo válidos en el Reino Unido. Lo contrario no es cierto mientras el Reino Unido no inicie un procedimiento específico según lo previsto en el artículo 14 del Reglamento eIdAS.

En 2019 se ha publicado la normativa “The Electronic Communications (Amendment etc.) (EU Exit) Regulations 2019” que tiene que ver con los procedimiento de notificación de incidentes de seguridad, especialmente en relación con la normativa de protección de datos, pero que no incide directamente en los servicios de confianza.

INDOTEL aprueba el nuevo marco regulatorio para servicios de certificación digital y confianza en República Dominicana, alineado con el #eIdAS


Mediante la Resolución No. 071-19 del Consejo Directivo INDOTEL aprobó la Norma Complementaria por la que se establece la equivalencia regulatoria del sistema dominicano de Infraestructura de Claves Públicas y de Confianza con los marcos regulatorios internacionales de servicios de confianza, así como la Norma Complementaria sobre Procedimientos de Autorización y Acreditación.

Indotel-ogoEsta actualización del marco normativo de la Ley 126-02 sobre Comercio Electrónico Documentos y Firmas Digitales se ha desarrollado para modernizar el mercado de servicios electrónicos de confianza de la República Dominicana y para adaptarlo al surgimiento de nuevas tecnologías, de forma tal que sean instrumentos realmente eficientes para la aplicación de los distintos agentes involucrados en la prestación de estos servicios electrónicos.

Por decisión del regulador, la citada normativa está específicamente alineada con las mejores prácticas internacionales en la materia, tomando como referencia el modelo europeo para la prestación de servicios electrónicos de confianza, definido en el Reglamento (UE) N.º910/2014 del Parlamento Europeo y del Consejo, de fecha 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (habitualmente denominado eIDAS) y en los estándares técnicos establecidos en los organismos de normalización como el Instituto Europeo de Normas de Telecomunicación (ETSI) y el Comité Europeo de Normalización (CEN).

Junto con el interés por aprovechar el desarrollo de estándares de la Unión Europea, el nuevo modelo regulatorio enfatiza también su compatibilidad  con otros estándares regionales impulsados por organizaciones como el Foro de Autoridades de Certificación y Programas de Exploración de Internet (CA/B Forum en inglés), que coordina la evolución de los certificados para sitio web de confianza pública, según los tipos acuñados de validación de dominio, validación de organización y validación extendida.

Se espera que la adopción de este nuevo modelo regulatorio,  favorezca  la interoperabilidad internacional, para lo que crea una implementación normativa de referencia que podría estudiarse por otros países, latinoamericanos o no, para facilitar la aplicación del artículo 14 del Reglamento EIDAS y por tanto el establecimiento de listas TSL no solo europeas sino globales.

En resumen, la norma publicada permite a la República Dominicana:

  • Ampliar el espectro de servicios de certificación digital que hasta a fecha contemplaba la normativa vigente, para incluir los que se detallan en el Reglamento europeo eIDAS, por ejemplo, servicios de confianza cualificados de: creación de firmas y sellos electrónicos a partir de certificados cualificados y dispositivos de creación de firmas cualificados, o servicios electrónicos de entrega cualificados;
  • La ubicación e instrumentación de listas de confianza TSL de prestadores nacionales que, una vez serán cursado el procedimiento previsto en el artículo 14 del Reglamento europeo eIDAS podrán ser incluidos en la lista de confianza europea, con un mecanismo de reciprocidad;
  • El reconocimiento mutuo de prestadores cualificados de confianza europeos y prestadores de servicios de confianza dominicanos, consecuencia del procedimiento del artículo 14 citado.;
  • Ampliar los servicios de confianza a otros como: servicio cualificados de validación y conservación de firmas cualificadas; servicios cualificados de sellos electrónicos,  y los servicios de certificados para la autenticación de sitios web, etc.; y
  • Aumentar la competitividad de las entidades dominicanas de confianza digital favoreciendo su posicionamiento en mercados como los europeos y abriendo los servicios de confianza a un mercado mayor.

Algunos de los aspectos contemplados en la norma son:

  • La posibilidad de desarrollar sistemas de identificación remota, por ejemplo los basados en videoconferencia o videograbación.
  • La posibilidad de prestar servicios de firma y sello electrónicos a distancia, bajo control del firmante o del titular del sello electrónico
  • La posibilidad de que la evaluación de conformidad la pueda realizar un organismo de evaluación de conformidad acreditado por el ODAC (Organismo Dominicano de Acreditación) admitiendo entidades acreditadas por otros organismos de acreditación como los europeos, sin perjuicio de la capacidad inspectora y de auditoría del propio INDOTEL.

En consecuencia, la aprobación de la Resolución No. 071-19 se suma a los desarrollos normativos previos del INDOTEL que siempre han buscado el desarrollo e impulso del comercio electrónico a nivel de la República Dominicana, y que además auspicia un régimen de reconocimiento mutuo entre estados y una mayor interoperabilidad entre prestadores de servicios de confianza a nivel internacional, colaborando en la  armonización de las normas jurídicas y técnicas de los servicios de confianza.

Desde Europa se ve este desarrollo normativo como un gran paso para la interoperabilidad global, y como ejemplo para otros países.

Referencia:

Artículo de D. Cesar Moliné publicado en LinkedIn.

 

TPP, AISP, PISP, ASPSP – Términos de PSD2 y eIdAS


La entrada en vigor de la Segunda Directiva de Pagos (PSD2) recogida en la legislación española en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, permite el desarrollo de nuevos servicios financieros en Europa e impulsa un nuevo marco de competencia.

Aparecen nuevos términos, que conviene conocer en inglés y en español para entender mejor el nuevo contexto competitivo marcado por el “Open Banking”.

Término Descripción
AIS Account Information Services. Servicios de Información de Cuentas. Servicios accesibles mediante API (Application Program Interface) para los TPP (Third Party Provider) Prestadores Financieros  en los que obtener información de los usuarios de servicios de pago.
AISP Account Information Service Provider. Proveedor de servicios de información sobre cuenta.  Prestador Financiero que obtiene información de varias entidades en nombre de un usuario de servicios de pago y se las presenta de forma consolidada.
API Application Programming Interface. Interfaz de Programación de Aplicación. Una API proporciona a una entidad una forma sistemática de obtener información o iniciar acciones en otra entidad. Mediante parámetros y opciones pueden programarse diferentes servicios a terceros.
ASPSP Account Servicing Payment Service Provider.  Proveedor de servicios de pago gestor de cuenta. Una entidad financiera en la que un usuario de servicios de pago tiene cuentas a cuya información un Prestador Financiero puede acceder en su nombre o en la puede iniciar una transferencia.
Autenticacion El proceso de confirmar la identidad de un Prestador Financiero o de un usuario de servicios de pago. Existen pautas como SCA – Strong Customer Authentication (Autenticación Reforzada de Cliente) o mecanismos como los certificados eIdAS para garantizar la correcta identificación.
Autorización El proceso de confirmar la  funcionalidad permitida según las credenciales de un Prestador Financiero o de un usuario de servicios de pago. Inicialmente la funcionalidad se limita a acceder a información de cuentas o iniciar transferencias, según el tipo de prestador (AISP o PISP).
Consentimiento El acuerdo por el que el usuario de servicios de pago otorga al Prestador la posibilidad de acceder a su información bancaria o iniciar transferencias.
eIdAS Reglamento UE 910/2014 que regula, entre otros aspectos los requisitos de expedición de certificados cualificados QWAC para sitios web y certificados cualificados para sello electrónico de los diferentes Prestadores. Los certificados los expiden  QTSPs – Qualified Trust Service providers, Prestadores cualificados de servicios electrónicos de confianza
NCA National Competent Authority. Autoridad Nacional Competente.  Organismo regulador o supervisor de entidades financieras que autoriza a un Prestador Financiero a operar en el nuevo marco de servicios financieros PSD2 cuando cumpla ciertos requisitos. En España, es el Banco de España.
PIS Payment Initiation Services. Servicios de iniciación del pagos. Servicios de transferencia bancaria gestionados por un Prestador Financiero en nombre de un usuario de servicios de pago a través de una API ofrecida por su Proveedor de servicios de pago gestor de cuenta.
PIIS Payment Issuer Instrument Service. Servicio asociado a medio de pago para solicitar por API la autorización de pago con tarjeta indicando el importe (comprueba la validez de la tarjeta y la disponibilidad del importe).
PISP Payment Initiation Service Provider. Proveedor de servicios de iniciación de pago. Prestador Financiero de servicios de transferencia bancaria gestionados en nombre de un usuario de servicios de pago a través de una API ofrecida por su Proveedor de servicios de pago gestor de cuenta. Puede requerirse por parte del ASPSP la confirmación del usuario.
PSU Payment Service User. Usuario de servicios de pago.
QTSP Qualified Trust Service Provider. Prestadores cualificados de servicios electrónicos de confianza. Expiden certificados cualificados QWAC para sitios web y certificados cualificados para sello electrónico de los diferentes Prestadores Financieros. Los certificados permiten identificar a los Prestadores Financieros cuando usan las APIs de otras entidades en entornos de Producción.
SCA Strong Customer Authentication. Autenticación Reforzada de Cliente. Proceso de confirmar la identidad del usuario. Normalmente se usan dos o más factores de autenticación:

  • “Algo que sabes”
  • “Algo que tienes”
  • “Algo que te caracteriza”
Sandbox Experimentos con gaseosa. Zona de pruebas.

El término en inglés Sandbox se refiere a una zona de juegos para niños en la que no estropean nada ni se hacen daño.  Se amplía a usos profesionales en los que se prueban desarrollos con funcionalidades similares a las del entorno real antes del paso a producción.

TPP Third Party Provider. Prestador Financiero. AISP o PISP.  Actúa en nombre de un usuario de servicios de pago accediendo a su información bancaria en otra entidad o iniciando una transferencia. Requiere una licencia por parte de una NCA y puede operar en otros países en virtud del concepto de “pasaporte” haciendo uso de certificados eIdAS.

Prestador-Financiero

John Cock-pigeon Identity – Blockchain


Las denominaciones de los sistemas y de las tecnologías deberían ser significativas para los usuarios.

Traigo el tema a colación de la denominación “Self Sovereign Identity” que suele traducirse como “identidad autosoberana” trasladando a un contexto jurídico continental principios de gestión de identidad que nos son ajenos y responden a necesidades de países que adoptan el derecho de la “Common Law”, tan diferente del nuestro. Es un tipo de propuesta, normalmente basada en infraestructuras de tipo Blockchain, que encuentra eco en nuestra sociedad.

En España, acreditar la identidad a distancia es sumamente sencillo, con el DNI electrónico, si bien, hay que reconocer que algo falla cuando el uso actual de esta posibilidad es tan escaso.

En países en los que no existe el DNI se opta por emitir un “carné de conducir de no conductores” que no deja de ser un documento de identidad expedido por el estado.

Pero en muchos contextos, uno acredita su identidad con lo que puede: contratos en los que se indica el nombre y apellidos y la otra parte los admite, facturas en las que figuran datos de identificación y de dirección de suministro (agua, gas, electricidad, teléfono fijo)…

En el fondo, no hay un buen sistema de gestión de identidad y se recurre a empresas como Experian y Equifax (o Dun & Bradstreet  en el caso de empresas) que recopilan datos de identidad y de comportamiento de pagos para refrendar la identidad alegada.

Que en esos contexto se propongan sistemas de tipo SSI (“Self Sovereign Identity”) o similares (caso de Sovrin o uPort) es una consecuencia lógica de la carencia que tratan de resolver.

Sin embargo, en nuestro contexto, la gestión de la identidad no tiene nada que ver con la soberanía (mucho menos a nivel individual) por lo que sistemas de base tan primitiva la podríamos llamar “Identidad Juan Palomo” (“yo me lo guiso, yo me lo como) y todo el mundo entendería la base de la propuesta: acreditamos un dato que nos pidan con algún “papel” que nos haya expedido un tercero tras cumplir ciertos requisitos (el carné del videoclub, una factura, un título universitario,…).

No es que en España no se use la “Identidad Juan Palomo”, lo que sucede es que la demostración más sencilla y eficaz de la identidad a secas la proporciona el DNI:

El DNI tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo. (RD 1553/2005)

Los servicios de Equifax y Experian siguen siendo útiles en la prevención del fraude (como ya expliqué en los artículos de “Documentos Perdidos/Sustraídos” y “Documentos Robados/Extraviados“) pero no se consideran una primera referencia para la gestión de identidad.

De modo que si nos llega a parecer que la denominación “John Cock-pigeon Identity” no es la mejor traducción del concepto para un angloparlante, quizá debamos cuestionar si la denominación “Identidad autosoberana” significa lo mismo en español.

Resuelto uno de los frenos a los certificados cualificados de PSD2


EIDAS-CAB-forumEl CAB Forum ha aprobado una modificación del documento “Extended Validation Guidelines” para permitir incluir guiones en el campo rganizationIdentifier (OID 2.5.4.97) de los certificados EV, con lo que los certificados expedidos en el contexto de la norma ETSI TS 119 495 ya no serán incompatibles con las comprobaciones que realizan los navegadores. De esta forma se podrán expedir certificados QWAC para entidades financieras y otras entidades que operan en aplicación de la Directiva (UE) 2015/2366 llamada Segunda Directiva de Pagos (PSD2).

La propuesta SC17 se ha aprobado con 23 votos favorables de entidades emisoras de certificados y 6 de las entidades desarrolladoras de navegadores (comprobadores de certificados).

Votos a favor:

  • Emisores:  Actalis, Buypass, Camerfirma, Certigna (DHIMYOTIS), Certum (Asseco), Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, DigiCert, eMudhra, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy,  SHECA, SSC, SecureTrust (anteriormente Trustwave), TurkTrust.
  • Comprobadores: Apple, Cisco, Google, Microsoft, Mozilla, 360

1 Abstención (Emisores): TrustCor

Con este resultado, se permite la inclusión de información adicional en los certificados EV para cumplir con ciertas regulaciones de la Unión Europea.

La motivación argumentada que dio lugar a la solicitud que se ha votado fue:

  • El Reglamento de la Unión Europea Nº 910/2014 (eIDAS)  define ciertos requisitos reglamentarios para los certificados con un nivel de calidad acordado denominado “Cualificado”. Este reglamento especifica en el Anexo IV los requisitos específicos para “Certificados cualificados para la autenticación de sitios web”, incluida la declaración de que el certificado contendrá: “para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
  • Se entiende que este requisito se relaciona con los atributos validados para la identificación del sujeto del certificado y, por lo tanto, se ajusta mejor al nombre distinguido del sujeto (subject’s distinguished name).
  • En línea con el marco regulatorio, ETSI ha definido una estructura general para llevar “números de registro” en la norma TS 119 412-1 (en la actualidad EN 319 412-1). Ver cláusula 5.1. 4. En ella se utiliza el identificador de organización (organizationIdentifier) de la norma  X.520 dentro del nombre distinguido del  sujeto el propósito de servir como “identificación de una organización diferente del nombre de la organización”. Esto se utiliza para los requisitos de ETSI para llevar los números de registro para certificados, cualificados o de otro tipo.
  • Se considera que este uso de organizationIdentifier es compatible con el propósito principal de los certificados de EV como se indica en la sección 2.1.1 de las Directrices de EV como “otra información desambiguadora”.
  • Un reciente Reglamento delegado de la UE 2018/389 sobre comunicaciones seguras para servicios de pago establece en el artículo 34.2 que para los Certificados de sitio web cualificados (QWAC), el número de registro requerido en eIDAS “será el número de autorización del proveedor de servicios de pago (…) o equivalente [referencia hecha a regulaciones anteriores relacionadas con entidades financieras]”.
  • ETSI ha especificado los requisitos de la norma TS 119 495 para incluir los números de registro relacionados con PSD2 en la estructura general para los números de registro definidos en la citada norma TS 119 412-1 en su cláusula 5.1 .4
  • ETSI se ha esforzado por garantizar y siempre ha intentado que los requisitos relacionados con los certificados de sitios web en el nivel Calificado estén en línea con las pautas de Extended Validation de CA / B Forum.
  • Esta propuesta solo incluye algunos de los Esquemas de registro utilizados en la norma ETSI TS 119 412-1, que tienen reglas de validación claras (NTR, IVA, PSD) que brindan una seguridad razonable de acuerdo con las “EV Guidelines”. Se propone que los IPR (intellectual property rights) para la semántica de este esquema se cedan al CA / B Forum, lo que le permitirá extender aún más el uso del Identificador de la organización (organizationIdentifier) para incluir otros Esquemas de registro (por ejemplo, LEI, Legal Entity Identifier) y las reglas de validación correspondientes, a discreción del CA / B Forum.  Además, cualquier cambio futuro realizado por ETSI a la norma ETSI TS 119 412-1 ya no tendrá impacto adicional en CA / B Forum.
  • Al tomar conciencia de que la interpretación del CA / B Forum de los “Requisitos de EV” en la sección 9.2.8 “Otros Atributos” no estaba en línea con la forma de entenderlos por los expertos de ETSI, este organismo desearía armonizar su interpretación con la de CA / B Forum para reflejar en los certificados diferentes formas de establecer números de registro para PSD2 y otros esquemas de identificación alfanumérica de entidades.

Por otro lado, las preocupaciones específicas del CA / B Forum eran:

  • Los requisitos con respecto a los atributos que se han de incluir en el DN (Distinguished Name) del sujeto deben recogerse de forma explícita en el apartado 9.2.
  • Las organizaciones pueden desear identificar las unidades organizativas dentro de su organización. No está claro si esto está permitido actualmente en las Directrices de EV (ambigüedad similar a la de la sección 9.2.8).
  • Se han argumentado objeciones al uso específico de ETSI del campo Distinguished Name.
  • Los procedimientos para la validación del atributo deben estar claramente establecidos.
  • Puede haber otros usos del campo OrganizationIdentifier  en varias PKI, sin embargo, no se considera un problema. dado que la semántica única que se está especificando para cada identificador, las aplicaciones deben ser capaces de comprender los diferentes usos del campo organizationIdentifier  por diferentes emisores y usuarios. Hay muchas “PKI” diferentes que pueden usar todos los atributos de X.500 de manera diferente y con una validación diferente o sin ninguna validación. Según parece, el WebPKI no ha usado anteriormente este atributo de subjectDN antes para los Certificados de confianza pública (Publicly-Trusted Certificates). Por lo tanto, no hay “conflicto” al usar este atributo en las Directrices EV para Certificados SSL / TLS, y tal vez más adelante para Certificados de Firma de Código EV.
  • Este uso de OrganisationIdentifier debe ser extensible para permitir el uso de otros números de registro asignados por diferentes esquemas de registro. Algunos miembros de CAB Forum han expresado interés en incluir números de registro que no sean para identificar el tipo de sociedad dentro de Certificados EV. Esto está previsto en la propuesta actual.
  • Algunos miembros del CA / B Forum tienen interés en llevar incluir las identificaciones LEI dentro de los certificados del CA / B Forum, pero hasta ahora el esquema de registro LEI no se considera lo suficientemente extendido como para ser reconocido como un esquema de numeración de registro para ser aceptado por el CA / B Forum. Por lo tanto, esta propuesta solo introduce un conjunto limitado de esquemas de registro (a saber, NTR, IVA, PSD) que tienen reglas de validación razonablemente sólidas.
  • Algunos miembros del CA / B Forum han indicado la posible necesidad de múltiples identificadores en el campo “nombre del sujeto”. Sin embargo, esto no se puede lograr utilizando el campo definido en la norma X.520 organizationIdentifier que definió este atributo como “SINGLE VALUE”.

Los cambios aprobados, que se reflejarán el documento “EV Guidelines” son:

  • Agregar a la sección 4 las siguientes definiciones:
    Entidad legal: una organización privada, entidad gubernamental, entidad comercial o entidad no comercial.
    Referencia de registro: un identificador único asignado a una entidad legal (persona jurídica).
    Esquema de registro: un esquema para asignar una referencia de registro que cumple con los requisitos identificados en el Apéndice H. “
  • Cambiar el título de la Sección 9.2 para indicar”Campos de Nombre Distinguido del Sujeto” (Subject Distinguished Name Fields).
  • Eliminar la Sección 9.2.2 y renumerar las secciones 9.2.3 a 9.2.8 como 9.2.2 a 9.2.7.
  • Insertar una nueva sección 9.2.8:
    “9.2.8. Campo identificador de organización del sujeto
    ** Campo de certificado **: organizationIdentifier (OID: 2.5.4.97)
    ** Requerido / Opcional **: Opcional
    ** Contenido **: Si está presente, este campo DEBE contener una referencia de registro para una entidad legal asignada de acuerdo con el Esquema de registro identificado.
    El organizationIdentifier DEBE estar codificado como PrintableString o UTF8String (ver RFC 5280).
    El Esquema de Registro DEBE identificarse utilizando la siguiente estructura en el orden presentado:
    * Identificador de esquema de registro de 3 caracteres;
    * Se utilizará el código de país ISO 3166 de 2 caracteres para la nación en la que opera el Esquema de Registro, o si el esquema se opera globalmente, se utilizará el código ISO 3166 “XG”
    * Para el identificador del Esquema de Registro NTR, si es requerido bajo la Sección 9.2.4, un identificador ISO 3166-2 de dos caracteres para la subdivisión (estado o provincia) de la nación en la que opera el Esquema de Registro, precedido por el signo más “+” ( 0x2B (ASCII), U + 002B (UTF-8));
    * un guión (signo menos) “-” (0x2D (ASCII), U + 002D (UTF-8));
    * Referencia de registro asignada de acuerdo con el Esquema de Registro identificado.Nota: las Referencias de Registro PUEDEN contener guiones, pero los Esquemas de Registro, los códigos de país ISO 3166 y los identificadores ISO 3166-2 no PUEDEN contenerlos. Por lo tanto, si aparece más de un guión en la estructura, el guión más a la izquierda es un separador, y los guiones restantes forman parte de la Referencia de Registro.Como en la sección 9.2.4, la información de ubicación especificada DEBE coincidir con el alcance del registro al que se hace referencia.Ejemplos:
    * NTRGB-12345678 (esquema NTR, Gran Bretaña, cuyo identificador único a nivel de país es 12345678)
    * NTRUS + CA-12345678 (Esquema NTR, Estados Unidos – California, cuyo identificador único a nivel estatal es 12345678)
    * VATDE-123456789 (Esquema de IVA o CIF, Alemania, cuyo Identificador único a nivel de país es 12345678)
    * PSDBE-NBB-1234.567.890 (Esquema de PSD2, Bélgica, con identificador de la NCA (National Competent Authority) por sus siglas NBB, y con identificador único del sujeto asignado por la NCA formado por la secuencia 1234.567.890)

    Los esquemas de registro enumerados en el Apéndice H se reconocen actualmente como válidos bajo estas pautas (“Guidelines”).

    La CA DEBE:
    1. confirmar que la organización representada por la Referencia de Registro es la misma que la organización nombrada en el campo de organización como se especifica en la Sección 9.2.1 dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4;
    2. Verificar además que la Referencia de registro coincida con otra información verificada de acuerdo con la sección 11;
    3. Tomar las medidas adecuadas para desambiguar entre diferentes organizaciones como se describe en el Apéndice H para cada Esquema de Registro;
    4. Aplicar las reglas de validación relevantes al Esquema de Registro como se especifica en el Apéndice H. “

  • Insertar nueva sección 9.8 (renumerar las siguientes secciones según sea necesario):
    9.8. Extensiones de Certificado
    Las extensiones enumeradas en la Sección 9.8 se recomiendan para la máxima interoperabilidad entre los certificados y los navegadores / aplicaciones, pero no son obligatorias en las CA, excepto cuando se indica como “Requerido”. Las CA pueden usar otras extensiones que no están enumeradas en esta Sección 9.8, pero se les recomienda que propongan su inclusión en esta sección de vez en cuando para ayudar a aumentar la estandarización de la extensión en toda la industria.Si una CA incluye una extensión en un certificado que tiene un campo de Certificado que se menciona en esta Sección 9.8, la CA debe seguir el formato especificado en esa subsección. Sin embargo, ninguna extensión o formato de extensión será obligatorio en una CA a menos que se indique específicamente como “Requerido” en la subsección que describe la extensión.9.8.1. Extensión del nombre alternativo del sujeto (Subject Alternative Name Extension)
    ** Campo del certificado: ** _subjectAltName: dNSName_
    ** Requerido / Opcional: ** Requerido
    ** Contenido: ** Esta extensión DEBE contener uno o más nombres de dominio de host que sean propiedad o estén controlados por el sujeto y que estén asociados con el servidor del sujeto. Dicho servidor PUEDE ser propiedad y operado por el Sujeto u otra entidad (por ejemplo, un servicio de alojamiento). Los certificados comodín no están permitidos para los certificados EV.9.8.2. Campo de identificador de organización del foro de CA / navegador
    ** Nombre de la extensión **: _cabfOrganizationIdentifier_ (OID: 2.23.140.3.1)
    ** OID detallado **: {joint-iso-itu-t (2) international-Organizations (23) ca-browser-forum (140) extensiones de certificado (3) cabf-organization-identifier (1)}
    ** Requerido / Opcional **: Opcional (pero ver más abajo)
    ** Contenido **: Si el asunto: organizationIdentifier está presente, este campo DEBE estar presente.

    A partir del 31 de enero de 2020, si está presente el campo sujeto: organizaciónIdentificador, este campo DEBE estar presente.
    Si está presente, este campo DEBE contener una Referencia de Registro para una entidad legal asignada de acuerdo con el esquema de registro identificado.

    El esquema de registro DEBE estar codificado como se describe en la siguiente gramática ASN.1:

    id-CABFOrganizationIdentifier OBJECT IDENTIFIER ::= 
    { joint-iso-itu-t(2) international-organizations(23) 
    ca-browser-forum(140) certificate-extensions(3) 
    cabf-organization-identifier(1) }
    
    ext-CABFOrganizationIdentifier EXTENSION ::= 
    { SYNTAX CABFOrganizationIdentifier IDENTIFIED BY 
    id-CABFOrganizationIdentifier }
    
    CABFOrganizationIdentifier ::= SEQUENCE {
    
    registrationSchemeIdentifier   PrintableString (SIZE(3)),
    
    registrationCountry            PrintableString (SIZE(2)),
    
    registrationStateOrProvince    [0] IMPLICIT PrintableString OPTIONAL (SIZE(0..128)),
    
    registrationReference          UTF8String
    
    }
    

    donde están los subcampos y tienen los mismos significados y restricciones descritos en la Sección 9.2.8. La CA DEBE validar el contenido utilizando los requisitos de la Sección 9.2.8 “.

  • Añadir nuevo Apéndice H – Esquemas de registro
    “Los siguientes esquemas de registro se reconocen actualmente como válidos según estas pautas:** NTR **: La información incluida en este campo será la misma que se guardó en el campo Número de registro del sujeto como se especifica en 9.2.5 y el código de país utilizado en el identificador del esquema de registro coincidirá con el de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.
    Cuando la Jurisdicción de constitución de la entidad o el Campo de Registro en 9.2.4 incluya más que el código del país, la información de localidad adicional se incluirá como se especifica en las secciones 9.2.8 y / o 9.8.1.** IVA **: Referencia asignada por las autoridades fiscales nacionales a una entidad jurídica. Esta información se validará utilizando la información provista por la autoridad fiscal nacional contra la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el campo del número de registro del sujeto (ver 9.2.5) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.

    ** PSD **: Número de autorización especificado en ETSI TS 119 495, cláusula 4.4, asignado a un proveedor de servicios de pago y que contiene la información especificada en ETSI TS 119 495 cláusula 5.2.1. Esta información SE DEBE obtener directamente del registro de la autoridad nacional competente para servicios de pago o de una fuente de información aprobada por una agencia gubernamental, organismo regulador o legislación para este propósito. Esta información DEBE validarse comparándola directa o indirectamente (por ejemplo, haciendo coincidir un número de registro único global) con la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el Campo del número de registro del sujeto (ver 9.2.5). ) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4. La dirección indicada de la organización combinada con el nombre de la organización NO SERÁ la única información utilizada para desambiguar la organización “.