Archivo de la categoría: OEC – Organismo de Evaluación de Conformidad

Norma del CCN para firma en la nube


CCN-CertificacionLos dispositivos cualificados de creación de firma son necesarios para producir firmas electrónicas y sellos electrónicos cualificados en el contexto del Reglamento 910/2014 (EIDAS).

Dada la lentitud del proceso de publicación en el seno del CEN (Comité Europeo de Normalización) de las normas de evaluación de conformidad de dispositivos cualificados de creación de firma que promovía el Reglamento EIDAS, en su artículo 30, en 2016 el Centro Criptológico Nacional (CCN) impulsó la publicación de una norma propia a lo que le autorizaba el propio artículo 30 en su apartado 3-b.

En efecto, el artículo 30 en su apartado 1 indica:

La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

Y en su apartado 3

La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo

(…)

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En abril de 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Sin embargo, esta norma solo hacía mención al marco de evaluación Common Criteria (ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 y a la norma de perfiles de protección de dispositivos seguros de creación de firma EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma, Partes 1 a 6), que pasaba de puntillas sobre los requisitos de firma en la nube (limitado a la parte  EN 419 211-5).

En base a la Directiva 1999/93/CE se había publicado en julio del año 2003 la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo que permitía contar con dispositivos seguros de creación de firma mientras evolucionaba el marco de normas técnicas de evaluacón de conformidad.

Dado el interés de algunas entidades españolas en certificar dispositivos cualificados de creación de firma (necesarios, por ejemplo, para finalizar el proyecto de DNI en la nube) el Centro Criptológico Nacional publicó en enero de 2017 la norma IT-009 -Remote Qualified Electronic Signature Creation Device Evaluation Methodology.

Esta norma se publicó al amparo del apartado 3-b del artículo 30 de EIDAS:

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

(…)

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

El documento recoge lo esencial de las normas técnicas en estado borrador en ese momento y posicionó a España en la punta de lanza de la evaluación de conformidad. Debe agradecerse al CCN esta labor proactiva que redunda en la competitividad de las empresas españolas del sector de la seguridad.

Por parte de TCAB (Trust Conformity Assessment Body) fué un privilegio el que pudiéramos colaborar en los trabajos preparatorios previos a la publicación de la norma.

Nuevas normas de ETSI para firmas digitales en la nube


El comité técnico de ETSI sobre Infraestructura de firma electrónica (TC ESI, technical committee on Electronic Signature Infrastructure) acaba de publicar un conjunto de tres Especificaciones técnicas para firmas digitales basadas en la nube que admiten dispositivos móviles: ETSI TS 119 431-1, ETSI TS 119 431-2 y ETSI TS 119 432.

Este nuevo conjunto de estándares promueve la creación de firmas digitales en la nube, lo que facilita la adopción de las tecnologías de firma electrónica al evitar la necesidad de software especializado por parte de los usuarios y la de contar con dispositivos seguros de creación de firma, tales como lectores de tarjeta chip.

El acrónimo TW4S (Trustworthy System Supporting Server Signing) se usa con frecuencia para identificar los entornos de firma electrónica en la nube.

El firmante confía en un servicio de confianza ofrecido por terceros especialistas para administrar su clave secreta de firma electrónica y para firmar digitalmente bajo su control aquellos documentos electrónicos que considere.

Para garantizar que es confiable el entorno de creación de firmas basado en la nube y que la clave privada de firma se usa bajo el control del firmante, el prestador del servicio de firma digital remota debe aplicar procedimientos seguros de gestión y utilizar sistemas y productos confiables, incluyendo canales seguros de comunicación electrónica.

Según Nick Pope, Vicepresidente del comité ESI de ETSI, “este es un gran paso en la seguridad de los despliegues de firmas digitales que tiene en cuenta la tendencia de adopción de servicios basados ​​en la nube y la generalización de los dispositivos móviles. Estas normas permiten una nueva forma de implementar los Servicios de confianza que simplifica enormemente su uso y proporciona un conjunto de herramientas importante para contrarrestar el creciente fraude de Internet dirigido a empresas y organismos”.

Las normas ETSI TS 119 431 partes 1 y 2 definen requisitos de política y seguridad que los organismos de evaluación de la conformidad (Conformity Assessment Bodies) pueden utilizar para certificar que un prestador de servicios de confianza sigue las mejores prácticas para la operación de dichos servicios de creación de firmas basados ​​en la nube, en particular en el contexto del Reglamento eIDAS (UE) 910/2014. Este trabajo de ETSI complementa las publicaciones del Comité Europeo de Normalización, CEN EN 419241-1: 2018 (requisitos generales para sistemas confiables que dan soporte a la firma electrónica en servidor) y EN 419241-2: 2019 (perfil de protección para dispositivos cualificados de creación de firma electrónica (QSCD) para la firma en servidor), que proporcionan los requisitos básicos de la firma electrónica en la nube.

Cloud-signature

La norma ETSI TS 119 432 especifica el protocolo que permite a una aplicación cliente solicitar la creación de una firma digital a un servidor. Esta especificación establece un protocolo para la comunicación segura entre los diferentes componentes necesarios para crear una firma digital segura en la nube, en consonancia con los estándares de seguridad establecidos en el Reglamento eIDAS. Se especifican dos tipos de conexión para implementar este protocolo: XML, que se basa en la especificación OASIS DSS-v2.0, y JSON, que se basa en la especificación del Cloud Signature Consortium (CSC). ETSI colaboró ​​con ambs organismos de normalización, OASIS y CSC para elaborar estas especificaciones de protocolo.

TCAB, Trust Conformity Assessment Body ya está considerando esta nuevas normas para las evaluaciones de conformidad de firma en la nube de sus clientes. Estas normas no están contempladas todavía por ENAC para su uso en la evaluación de servicios cualificados. Para más información, llame a 91 388 0789 

Organismos de Evaluación de Conformidad #EIDAS en Europa y en España


España ha pasado a ser uno de los países con mayor número de CABs (Conformity Assessment Bodies), en español, Organismos de Evaluación de Conformidad (OECs) en relación con el Reglamento UE 910/2014 (EIDAS).

Existe un listado a nivel europeo que recoge todos los Organismos de Evaluación de Conformidad [Compiled list of conformity assessment bodies as defined in point 13 of Article 2 of Regulation (EC) No 765/2008 and accredited as competent to carry out conformity assessment of a qualified trust service provider and the qualified trust services it provides against the requirements of eIDAS Regulation (EU) 910/2014] cuyo resumen es el siguiente:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

En total, a finales de julio de 2018 existen 25 CABS  (Conformity Assessment Bodies) en Europa. Italia acoge 7, Alemania y España aportan 4 cada país, la República Checa cuenta con 3,  en Francia y Eslovaquia residen 2 por cada país, y hay 1 CAB en Austria, Portugal y Reino Unido.

El resto de países de la Unión Europea no cuentan todavía con entidades evaluadoras de conformidad.

Los CABS españoles aparecen,, con el detalle de la acreditación, en la página web de ENAC: