1

Prestadores de servicios de certificación

En este post hablare acerca de la figura de los prestadores de servicios de certificación, los cuales han ido apareciendo en repetidas ocasiones durante los post anteriores. Un prestador de servicios de certificación es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Es decir, es la figura a la que tenemos que dirigirnos cuando tenemos un documento o un contrato y necesitamos una firma para poder establecer nuestra identidad como firmantes. Esta figura da fe que esa firma electrónica corresponde a una persona concreta, y por ello los certificados también son firmados por ellos.

Cada prestador de servicios de certificación debe disponer de un servicio de consulta, en el cual se puedan consultar los certificados expedidos por los mismos y el estado en el que se encuentran. Es decir, si los mismos siguen vigentes, han expirado o si han sido suspendidos. De esta forma el receptor del documento podrá comprobar si el certificado correspondiente corresponde a el firmante y este no ha sido modificado durante el envío y recepción del mismo. Por ello, podemos decir que los prestadores de servicios de certificación son los sujetos que hacen posible el empleo de la firma electrónica, ya que son los que realizan esa función de nexo o pegamento entre el emisor o firmante y el receptor.

Como se indica en el artículo 19 de la ley de firma electrónica [1] cada uno de los prestadores deberá realizar una declaración de prácticas de certificación. El mismo deberá contener todos los requisitos exigidos a los prestadores en la ley, como por ejemplo como se custodiarán los datos de creación de firma o como se comunicarán con los Registros públicos para notificarles de los cambios. Esta declaración tiene la misma consideración frente a la ley que el documento de seguridad, el cual hemos visto en clase y nos fue introducido también en la charla de uno de los invitados.

Ahora os voy a hablar un poco de cómo ha cambiado el mundo de los prestadores de servicios de certificación en España en los últimos años. Estos se regían por la ley de firma electrónica vigente en España[1], por tanto, cumpliendo lo que establecía esa ley, los mismos eran considerados con el máximo grado de confianza. ¿Qué ha ocurrido entonces? La Unión Europea lanzo el “Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior” [2]. Como ya sabemos los reglamentos expedidos por la Unión Europea son de obligado cumplimiento por todos los estados miembros. Este reglamento entro en vigor el 17 de septiembre de 2014, pero la fecha en la que ha sido empezado a aplicar en su totalidad ha sido este año, exactamente el de 1 de julio.

Reglam-PD-UE

¿Qué cambia entonces con la entrada en vigor de este nuevo reglamento? Se distinguen dos tipos de prestadores de servicios de certificación, por un lado, los prestadores cualificados de servicios electrónicos de confianza y por otro lado los prestadores no cualificados. Y os preguntareis cual es la diferencia entre los mismos, pues es simple, para ser cualificado debe cumplir con los requisitos aplicables establecidos en el Reglamento (UE) 910/2014.

¿Cuáles son esos requisitos que deben cumplir? Cuando un prestador de servicios de certificación tiene la intención de pasar a ser considerado cualificado, debe presentar su intención de convertirse en un organismo cualificado a el organismo de supervisión junto a un informe de que le evalué, expedido por un organismo de evaluación de la conformidad. Una vez recibidas estas dos cosas el organismo de supervisión supervisara si todo cumple con lo establecido en el nuevo reglamento. En caso de que todo este correcto, le concederá la cualificación y actualizara la lista de confianza. En este párrafo, he introducido muchos términos nuevos y que posiblemente no se reconozcan, por ello voy a pasar ahora a explicar cada uno de ellos.

El primero de ellos es el termino de organismo de supervisión, el reglamento define que cada Estado miembro tiene la obligación de designar un organismo que realice esa función. Este organismo es responsable de supervisar a los prestadores de servicios de certificación establecidos en el Estado y de tomar las decisiones oportunas referentes a cada uno de los prestadores no cualificados. En el caso de España, el organismo designado para realizar esta función es el Ministerio de Energía, Turismo y Agenda Digital. Este organismo debe elaborar además la citada lista de confianza, en la que se incluye información relativa a cada uno de los prestadores cualificados y la información relacionada con los servicios que presta cada uno de ellos. En el caso de España se puede acceder de dos formas a esta información, la primera es mediante el documento de lista de confianza [3] que obliga a realizar el reglamento y por otro lado mediante una página web en la que se accede de forma más sencilla y más visual a la información [4]. Además de esto, el organismo de supervisión también deberá tener accesible la información de cuáles son los prestadores que ofrecen servicios no cualificados.

energia-turismo-agendadigital-Gob-Web

Por último, tenemos el término de organismo de evaluación de la conformidad, que se corresponde a los organismos que auditan y certifican a los prestadores de los servicios de certificación. La acreditación de estos organismos de evaluación de la conformidad en España corresponde a Entidad Nacional de Acreditación (ENAC) [5]. ENAC se encuentra en disposición de acreditar conforme a la norma EN 319 403 que establece los requisitos para asegurar la competencia técnica, la operatividad e imparcialidad de aquellos organismos que auditan y certifican a los proveedores de servicios de identificación electrónica y prestadores de servicios electrónicos de confianza para transacciones electrónicas [6].

Por tanto, como hemos visto los prestadores deben de ser auditados. Esta auditoria debe ser realizada al menos cada 24 meses, es decir 2 años, y debe ser realizada por uno de los organismos de evaluación de la conformidad acreditados por la ENAC. La finalidad de la auditoria que se debe realizar es confirmar que tanto los prestadores de servicios certificación cualificados como los servicios que prestan los mismos cumplen con lo establecido en el Reglamento (UE) 910/2014. Los prestadores de servicios de certificación cualificados deben enviar el informe recibido como resultado de la auditoria, a el organismo de supervisión en el plazo máximo de tres días hábiles desde su recepción.

Referencias

[1]” Apartado 31 del Código de Derecho de la Ciberseguridad 22 de noviembre de 2016, Ley 59/2003 de la firma electrónica”, BOE,

http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad

[2] “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE”, BOE,

https://www.boe.es/doue/2014/257/L00073-00114.pdf

[3] “Lista de Confianza de prestadores de servicios de certificación cualificados del 2 de noviembre de 2016”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 22 de noviembre de 2016,

https://sede.minetur.gob.es/Prestadores/TSL/TSL.pdf

[4] “Prestadores de servicios electrónicos de confianza cualificados”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de noviembre de 2016,

https://sedeaplicaciones2.minetur.gob.es/prestadores/

[5] “Pagina web de ENAC”, Entidad Nacional de Acreditación, consultado el 23 de noviembre de 2016,

https://www.enac.es/inicio

[6] “Nuevo esquema de acreditación en el marco del Reglamento UE 910/2014”, Entidad Nacional de Acreditación, consultado el 24 de noviembre de 2016,

https://www.enac.es/prestadores-servicios-confianza-identificacion-electronica

[7]“PREGUNTAS FRECUENTES SOBRE EL REGLAMENTO (UE) Nº 910/2014 SOBRE IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA (EIDAS)”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de Noviembre de 2016,

http://www.minetad.gob.es/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Paginas/preguntas-frecuentes.aspx#dt12




Legislación acorde con la firma electrónica

En este post daré paso a la legislación acorde con la firma electrónica. La ley que rige el uso de la firma electrónica en España es la Ley 59/2003 [1] cuya última modificación se realizó a fecha de 2 de octubre de 2015. Como se presenta en el apartado 2 del artículo 1 de esta ley lo contenido en la misma no modifica las normas relativas a la celebración, formalización, validez y eficacia de los contratos y cualquier otro acto jurídico ni las relativas a los documentos en las que aparezcan las misma.

La ley a la que he hecho referencia regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. El termino prestador de servicios de certificación es nuevo ya que no fue introducido en el post anterior, y se refiere a la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Como se define en el artículo 5 la prestación de servicios de certificación no necesita autorización previa y habrá libre competencia, y no podrán realizarse ningún tipo de restricciones para servicios de certificación que provengan de otro Estado miembro del Espacio Económico Europeo, ya que esta ley se presenta a consecuencia de la Directiva 1999/93/CE [2] mediante la cual se establece un marco comunitario para la firma electrónica. Esta directiva quedo derogada con la entrada en vigor del Reglamento (UE) nº 910/2014 [3] introducido por el Parlamento Europeo, el cual actualmente rige la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Volviendo a ley que rige en España, también regula el uso de la firma electrónica en el ámbito de las Administraciones públicas (artículo 4), sus organismos y sus entidades tanto entre las relaciones entre ellos como en las mismas con los particulares. Para poder garantizar las garantías de los procedimientos podrán añadir condiciones adicionales como por ejemplo la fecha en la que se ha realizado dicha firma.

En cuanto a los certificados electrónicos en esta ley también se regula cuales con las causas por las que se puede llevar a cabo la extinción de un certificado (artículo 8). Una de ellas es que el periodo de validez del certificado expire, podemos decir que el mismo caduca. Otra de las causas es que se pida la revocación de la misma por parte del firmante o que se viole o se ponga en peligro el secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación. También figuran como causas una resolución judicial, posible fallecimiento o fin de representación de una persona, o la alteración de los datos con los que se creó la firma. Otra posibilidad que se contempla es que cierre del prestador de servicios de certificación en cuyo caso se extinguirá la firma a no ser que se llegue a un acuerdo con el firmante, para que regule la misma otra entidad distinta. En caso de la extinción del certificado, respecto a los efectos de la misma frente a terceros, en caso que sea por que expira el periodo de validez surtirá efecto desde ese mismo momento y en los demás casos desde el momento que se refleje esa situación en el servicio de consulta del prestador de servicios.

También se define lo que es un certificado reconocido y que debe cumplir el mismo (artículo 11), que como ya sabemos es el certificado electrónico que equivale a la firma manuscrita. Una de las cosas destacables del mismo es que su vigencia no podrá ser superior a 5 años. Un certificado reconocido deberá incluir todos los siguientes datos según la ley: indicar que se entrega como tal, su código único identificativo, la identificación del prestador que emite el mismo y su firma electrónica avanzada, la identificación del firmante en la que en caso de ser una persona física serán los datos del D.N.I. y en caso de que sea una persona jurídica por su denominación y su código de identificación fiscal. También deberán incluir los datos de verificación de firma que corresponden a los datos de creación de firma bajo control del firmante y el periodo de validez del mismo. También se podrán añadir límites de uso o un límite de valor máximo en las transacciones para las que se pueda utilizar el mismo.

¿Qué obligaciones se deben cumplir antes de expedir un certificado reconocido? (artículo 12) Los prestadores de servicios tienen la obligación de comprobar que incluye toda la información necesaria (la indicada en el párrafo anterior) y que la misma es exacta. También deberán comprobar la identidad del firmante y asegurarse de que el mismo es el único que tiene el control sobre los datos de creación de firma. También deberán garantizar la conexión entre los datos de verificación y creación de firma siempre que los dos sean creados por el prestador de servicios.

¿Cómo se debe llevar a cabo la comprobación de la identidad del solicitante de un certificado reconocido? (artículo 13) En caso de la identificación de una persona física será preciso que se presente en persona ante los que deben comprobar su identidad y se realizara mediante su D.N.I., pasaporte u otro medio que lo acredite. Se podrá prescindir de presentarse en persona en caso de que su firma haya sido realizada frente a notario. Para el caso de certificados reconocidos de personas jurídicas o los que reflejan una relación de representación voluntaria, además comprobarán los datos relativos a la constitución y personalidad jurídica y a la extensión y vigencia de capacidades de representación del solicitante, mediante los documentos públicos necesarios o mediante su registro público en caso de que así sea necesario.

La comprobación podrá no ser necesaria en caso de que el prestador de servicios de certificación ya tenga identificado al firmante o en caso de que se utilice otro certificado expedido por el mismo prestador de servicios para ese firmante, siempre que no se supere el periodo de 5 años desde la identificación.

En los siguientes post seguiré hablando de la legislación relacionada con la firma electrónica y de los puntos que no se han podido presentar en este.

Referencias:

[1] “Apartado 31 del código de derecho de la ciberseguridad presentado por el BOE, es la ley referente a la firma electrónica (12 de agosto de 2016)”, Agencia Estatal Boletín Oficial del Estado, acceso el 23 de octubre,

http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad

[2] “Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica”, Agencia Estatal Boletín Oficial del Estado, acceso el 24 de octubre,

https://www.boe.es/buscar/doc.php?id=DOUE-L-2000-80059

[3] “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE”, Agencia Estatal Boletín Oficial del Estado, acceso el 24 de octubre,

https://www.boe.es/doue/2014/257/L00073-00114.pdf

 




¿Cómo dar solución a la firma de documentos en la nueva industria?

Históricamente la sociedad y los negocios se regían por la comunicación cara a cara entre las personas, y por firmar los contratos en persona y a mano alzada. De esta forma, no había ningún tipo de duda de suplantación o de que por el camino alguien interceptara el documento y realizara algún cambio en el mismo o espiara la información del mismo. En los últimos años, las relaciones interpersonales y la industria en general han cambiado completamente, hoy en día se realizan compras con un solo clic y se realizan negocios a miles de kilómetros de distancia, la llegada de Internet ha supuesto un cambio increíble y todo el mundo debe adaptarse al mismo.

Ya que se realizan negocios a distancia y por lo tanto envíos de documentos o de contractos mediante la red, surge la necesidad de poder firmar los mismos y de acreditar que los mismos no han sido alterados o espiados durante su envió por la red, debido a todas las amenazas que se presentan en la misma. En este punto, se introduce el termino de firma electrónica, que es mediante el cual se intenta dar solución a este problema. La definición de este término según el BOE es la siguiente: “Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.”. Gracias a la firma electrónica se puede validar el origen del documento y la integridad del mismo, por lo tanto, es lo que estaba buscando conseguir.

La firma electrónica es un concepto jurídico, es un método de identificación, que como hemos indicado busca tener la misma garantía que la firma manuscrita. Esta implica que una persona verifica la realización de una acción determinada a través de cualquier dispositivo electrónico, estableciendo un registro con la fecha y hora de la misma. Esto es algo que vemos todos en nuestro a día a día, cuando vamos a comprar algo a una tienda o recibimos una carta certificada en casa y firmamos sobre un dispositivo electrónico, se crea un registro con nuestra firma que verifica que hemos recibido el mismo o cuando metemos la tarjeta en el banco e introducimos nuestro PIN, todos estos casos son ejemplos de firmas electrónicas.

La firma digital es una de las más destacables dentro de la firma electrónica, ya que la misma es un tipo de firma electrónica que ofrece mucha más seguridad que la misma. La firma digital como la manuscrita es única por cada firmante y se realiza siguiendo el protocolo PKI, el cual requiere el uso de un algoritmo matemático para la creación de una clave pública y una privada. Mediante estas claves lo que se busca es la creación de una firma y la encriptación del documento y que solo se pueda abrir en el origen y en el destino del archivo, ya que de esta forma se garantiza la integridad del mismo enviando por la red el documento con esa firma digital. Se logra dar solución al problema de la firma, ya que se garantiza que el documento no ha sido modificado y nadie puede negar haberlo firmado.

procesodefirma

En el caso de España la firma electrónica está contemplada en la legislación como se puede contemplar en el Boletín Oficial del Estado (BOE) sobre el código de derecho de la ciberseguridad. En este boletín se marca cual debe ser el proceso a seguir para que sea válida la misma, como deben actuar los servicios de certificación, que dispositivos son válidos, como lograr las certificaciones necesarias y también se describen las condiciones a cumplir para aceptar como valido un documento expedido fuera de la legislación del Espacio Económico Europeo. En el caso de España aparece una nueva forma de realizar una firma electrónica que también se contempla en el BOE que es mediante el DNI, mediante el cual se puede realizar una firma que funciona como un certificado electrónico de forma sencilla.

¿Por lo tanto, porque no confiar en esta firma? Yo creo personalmente, que mediante el uso de este tipo de proceso se consigue perfectamente sustituir a la firma manuscrita y que en un mundo como el actual es totalmente necesario ya que acelera mucho los procesos administrativos y es algo que ayuda a confiar en la realización de negocios mediante medios electrónicos. Sí que es verdad que un mundo en el que la ciberseguridad está a la orden del día la gente es reticente a confiar en esto, pero este sistema hoy en día es confiable y da la posibilidad de confiar en la integridad del documento lo cual es vital. Pongámonos en el caso de que debemos enviar un contrato o un documento desde España a Rusia y optamos por enviarlo por correo, de esta forma podría ocurrir que alguien intercepte ese documento y que lo suplante o espié la información del mismo para tomar ventaja de ello. Esto mediante la firma digital no ocurre porque logramos que se garantice la integridad, entonces, ¿Por qué no usarla?

Referencias:

“Firma electrónica”, Portal administración electrónica, acceso el 8 de octubre 2016,

http://firmaelectronica.gob.es/Home/Ciudadanos/Firma-Electronica.html

“Electronic and Digital Signatures: A Global Status Report – Executive Introduction”, Isaca, acceso el 9 de octubre de 2016,

https://www.isaca.org/bookstore/extras/Pages/Electronic-and-Digital-Signatures-A-Global-Status-Report-Executive-Introduction.aspx

“Digital Signatures – Security & Controls”, Isaca, acceso el 9 de octubre de 2016,

https://www.isaca.org/bookstore/extras/Pages/Digital-Signatures-Security-andamp-Controls-Executive-Summary.aspx

“What are digital signatures?”, DocuSign, acceso el 9 de octubre de 2016,

https://www.docusign.com/how-it-works/electronic-signature/digital-signature/digital-signature-faq

BOE del Código de Derecho de la Ciberseguridad, edición actualizada a 21 de julio de 2016.