Prestadores de servicios de certificación

En este post hablare acerca de la figura de los prestadores de servicios de certificación, los cuales han ido apareciendo en repetidas ocasiones durante los post anteriores. Un prestador de servicios de certificación es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Es decir, es la figura a la que tenemos que dirigirnos cuando tenemos un documento o un contrato y necesitamos una firma para poder establecer nuestra identidad como firmantes. Esta figura da fe que esa firma electrónica corresponde a una persona concreta, y por ello los certificados también son firmados por ellos.

Cada prestador de servicios de certificación debe disponer de un servicio de consulta, en el cual se puedan consultar los certificados expedidos por los mismos y el estado en el que se encuentran. Es decir, si los mismos siguen vigentes, han expirado o si han sido suspendidos. De esta forma el receptor del documento podrá comprobar si el certificado correspondiente corresponde a el firmante y este no ha sido modificado durante el envío y recepción del mismo. Por ello, podemos decir que los prestadores de servicios de certificación son los sujetos que hacen posible el empleo de la firma electrónica, ya que son los que realizan esa función de nexo o pegamento entre el emisor o firmante y el receptor.

Como se indica en el artículo 19 de la ley de firma electrónica [1] cada uno de los prestadores deberá realizar una declaración de prácticas de certificación. El mismo deberá contener todos los requisitos exigidos a los prestadores en la ley, como por ejemplo como se custodiarán los datos de creación de firma o como se comunicarán con los Registros públicos para notificarles de los cambios. Esta declaración tiene la misma consideración frente a la ley que el documento de seguridad, el cual hemos visto en clase y nos fue introducido también en la charla de uno de los invitados.

Ahora os voy a hablar un poco de cómo ha cambiado el mundo de los prestadores de servicios de certificación en España en los últimos años. Estos se regían por la ley de firma electrónica vigente en España[1], por tanto, cumpliendo lo que establecía esa ley, los mismos eran considerados con el máximo grado de confianza. ¿Qué ha ocurrido entonces? La Unión Europea lanzo el “Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior” [2]. Como ya sabemos los reglamentos expedidos por la Unión Europea son de obligado cumplimiento por todos los estados miembros. Este reglamento entro en vigor el 17 de septiembre de 2014, pero la fecha en la que ha sido empezado a aplicar en su totalidad ha sido este año, exactamente el de 1 de julio.

Reglam-PD-UE

¿Qué cambia entonces con la entrada en vigor de este nuevo reglamento? Se distinguen dos tipos de prestadores de servicios de certificación, por un lado, los prestadores cualificados de servicios electrónicos de confianza y por otro lado los prestadores no cualificados. Y os preguntareis cual es la diferencia entre los mismos, pues es simple, para ser cualificado debe cumplir con los requisitos aplicables establecidos en el Reglamento (UE) 910/2014.

¿Cuáles son esos requisitos que deben cumplir? Cuando un prestador de servicios de certificación tiene la intención de pasar a ser considerado cualificado, debe presentar su intención de convertirse en un organismo cualificado a el organismo de supervisión junto a un informe de que le evalué, expedido por un organismo de evaluación de la conformidad. Una vez recibidas estas dos cosas el organismo de supervisión supervisara si todo cumple con lo establecido en el nuevo reglamento. En caso de que todo este correcto, le concederá la cualificación y actualizara la lista de confianza. En este párrafo, he introducido muchos términos nuevos y que posiblemente no se reconozcan, por ello voy a pasar ahora a explicar cada uno de ellos.

El primero de ellos es el termino de organismo de supervisión, el reglamento define que cada Estado miembro tiene la obligación de designar un organismo que realice esa función. Este organismo es responsable de supervisar a los prestadores de servicios de certificación establecidos en el Estado y de tomar las decisiones oportunas referentes a cada uno de los prestadores no cualificados. En el caso de España, el organismo designado para realizar esta función es el Ministerio de Energía, Turismo y Agenda Digital. Este organismo debe elaborar además la citada lista de confianza, en la que se incluye información relativa a cada uno de los prestadores cualificados y la información relacionada con los servicios que presta cada uno de ellos. En el caso de España se puede acceder de dos formas a esta información, la primera es mediante el documento de lista de confianza [3] que obliga a realizar el reglamento y por otro lado mediante una página web en la que se accede de forma más sencilla y más visual a la información [4]. Además de esto, el organismo de supervisión también deberá tener accesible la información de cuáles son los prestadores que ofrecen servicios no cualificados.

energia-turismo-agendadigital-Gob-Web

Por último, tenemos el término de organismo de evaluación de la conformidad, que se corresponde a los organismos que auditan y certifican a los prestadores de los servicios de certificación. La acreditación de estos organismos de evaluación de la conformidad en España corresponde a Entidad Nacional de Acreditación (ENAC) [5]. ENAC se encuentra en disposición de acreditar conforme a la norma EN 319 403 que establece los requisitos para asegurar la competencia técnica, la operatividad e imparcialidad de aquellos organismos que auditan y certifican a los proveedores de servicios de identificación electrónica y prestadores de servicios electrónicos de confianza para transacciones electrónicas [6].

Por tanto, como hemos visto los prestadores deben de ser auditados. Esta auditoria debe ser realizada al menos cada 24 meses, es decir 2 años, y debe ser realizada por uno de los organismos de evaluación de la conformidad acreditados por la ENAC. La finalidad de la auditoria que se debe realizar es confirmar que tanto los prestadores de servicios certificación cualificados como los servicios que prestan los mismos cumplen con lo establecido en el Reglamento (UE) 910/2014. Los prestadores de servicios de certificación cualificados deben enviar el informe recibido como resultado de la auditoria, a el organismo de supervisión en el plazo máximo de tres días hábiles desde su recepción.

Referencias

[1]” Apartado 31 del Código de Derecho de la Ciberseguridad 22 de noviembre de 2016, Ley 59/2003 de la firma electrónica”, BOE,

http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad

[2] “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE”, BOE,

https://www.boe.es/doue/2014/257/L00073-00114.pdf

[3] “Lista de Confianza de prestadores de servicios de certificación cualificados del 2 de noviembre de 2016”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 22 de noviembre de 2016,

https://sede.minetur.gob.es/Prestadores/TSL/TSL.pdf

[4] “Prestadores de servicios electrónicos de confianza cualificados”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de noviembre de 2016,

https://sedeaplicaciones2.minetur.gob.es/prestadores/

[5] “Pagina web de ENAC”, Entidad Nacional de Acreditación, consultado el 23 de noviembre de 2016,

https://www.enac.es/inicio

[6] “Nuevo esquema de acreditación en el marco del Reglamento UE 910/2014”, Entidad Nacional de Acreditación, consultado el 24 de noviembre de 2016,

https://www.enac.es/prestadores-servicios-confianza-identificacion-electronica

[7]“PREGUNTAS FRECUENTES SOBRE EL REGLAMENTO (UE) Nº 910/2014 SOBRE IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA (EIDAS)”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de Noviembre de 2016,

http://www.minetad.gob.es/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Paginas/preguntas-frecuentes.aspx#dt12