Más contenido relacionado La actualidad más candente (20) Similar a Gestión Centralizada de Certificados de Firma Electrónica (20) Gestión Centralizada de Certificados de Firma Electrónica1. ECIJA
Derecho y Tecnología
ECIJA – Firma Líder en Derecho de las TMT del mercado español
Novedades del Reglamento Europeo sobre
identificación electrónica y servicios de
confianza (ReIDAS)
Gestión Centralizada de Certificados Electrónicos
6 de noviembre de 2014
© ECIJA www.ecija.com
2. ECIJA
Derecho y Tecnología
Sobre ECIJA – Firma Líder en Derecho de las TMT
© ECIJA www.ecija.com
2
• ECIJA es primera Firma española que integra Servicios Legales, Cumplimiento
Normativo y Seguridad de la Información.
• ECIJA es la Firma de referencia en España en TMT (Tecnología, Medios y
Telecomunicaciones) y Seguridad de la Información, que se ha consolidado en
el puesto Número 1 como firma full-service en estos sectores según los
Rankings internacionales Chambers y Legal500.
• Contamos con un equipo de más de cien profesionales que ofrecen servicios
integrales en Derecho, Cumplimento y Seguridad de la Información, a más de
la mitad de las empresas del IBEX 35 y sus filiales en el extranjero, desde
nuestras oficinas en Madrid, Barcelona, Miami y Santiago de Chile.
3. 3
ÁREA DE INFORMATION TECHNOLOGY
Áreas de Práctica
Consultoría y Asesoría
Auditoría
Herramientas de Software de Cumplimiento Normativo
VIGILANCIA DE
MARCA
GOBIERNO
SEGURIDAD
FIRMA Y
EVIDENCIAS
ELECTRÓNICAS
DERECHO
TIC
CUMPLIMIENTO
IT
IT
GOVERNANCE
CORPORATE
COMPLIANCE
4. SITUACIÓN ACTUAL
Legislación aplicable
• Directiva Europea 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco
común para la firma electrónica.
• Ley 59/2003, de 19 de diciembre, de firma electrónica.
• Vigentes hasta el 1 de julio de 2016.
Tipos de Firma Electrónica
• Firma electrónica simple: conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden
ser utilizados como medio de identificación del firmante
• Firma electrónica avanzada: la firma que permite identificar al firmante y detectar cualquier cambio ulterior de los datos
firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el
firmante puede mantener bajo su exclusivo control.
• Firma electrónica reconocida: la firma electrónica avanzada basada en un certificado reconocido y generada mediante un
dispositivo seguro de creación de firma. Requiere por tanto el cumplimiento de los siguientes requisitos:
• Un certificado de firma electrónica avanzada
• Que el certificado sea sido emitido por un Prestador de Servicios de Certificación
• Que se acredite presencialmente la identidad del titular del certificado al menos en una ocasión
• Que cada firma realizada se genere en un dispositivo seguro de creación de firma
• Que el dispositivo seguro de creación de firma se encuentre bajo el control del firmante
• Que la firma haya sido creada por medios que el firmante puede mantener bajo su exclusivo control
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
5. SITUACIÓN ACTUAL – EFECTOS PRÁCTICOS
EFECTOS PRÁCTICOS EN RELACIÓN A LA GESTIÓN CENTRALIZADA DE CERTIFICADOS
• La legislación actual cuenta con restricciones importantes a la centralización de procesos de firmado electrónico, en tanto requiere
que:
• Cada proceso de firma debe ser realizado siempre en “dispositivos seguros de creación de firma”.
• Que la firma haya sido creada por medios (clave privada) que el firmante puede mantener bajo su exclusivo control.
• Cualquier sisma de Gestión Centralizada de Certificados, bajo la actual regulación, requiere que en todo momento:
• La firma sea realizada en un dispositivo seguro de creación de firma.
• El usuario deba introducir su clave privada del certificado expresamente en el sistema.
DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA – ¿QUÉ SON?
Es un sistema informático que sirve para aplicar los datos de creación de firma garantizando en todo momento los siguientes
aspectos:
• Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.
• Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de
verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en
cada momento.
• Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.
• Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante
antes del proceso de firma.
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
6. PRINCIPALES NOVEDADES DEL REGLAMENTO eIDAS…
…EN RELACIÓN A LA GESTIÓN CENTRALIZADA DE CERTIFICADOS
• El ReIDAS, a diferencia de la LFE, prevé de forma expresa la existencia de servicios de confianza en
soporte de la firma y sello electrónicos.
• Concretamente, el ReIDAS expresamente establece que:
• “debe ser posible para el firmante confiar a un tercero los dispositivos de creación de
firmas electrónicas cualificados, a condición de que se apliquen los procedimientos y
mecanismos adecuados para garantizar que el firmante tiene el control exclusivo del uso de sus
datos de creación de la firma electrónica y que la utilización del dispositivo cumple los requisitos de
la firma cualificada” (considerando 51 del ReIDAS)
• “debe desarrollarse la creación de firmas electrónicas a distancia con un entorno de
creación de firma electrónica gestionado por un proveedor de servicios de confianza en
nombre del firmante” (considerando 51 del ReIDAS)
• El ReIDAS, por tanto, abre la puerta a poder emplear de forma mucho más simple sistemas de gestión
centralizada de certificados de firma electrónica reconocida, contando con la misma validez legal que la
firma manuscrita.
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
7. PRINCIPALES NOVEDADES DEL REGLAMENTO eIDAS…
…EN RELACIÓN A LA GESTIÓN CENTRALIZADA DE CERTIFICADOS
• Ahora bien, a pesar de que el ReIDAS apuesta por la implantación de este tipo de sistemas, requiere el
cumplimiento de una serie de medidas de seguridad encaminadas a garantizar que las firmas
electrónicas obtengan el mismo reconocimiento jurídico que las firmas electrónicas creadas en un
entorno completamente gestionado por el usuario.
• Estos requisitos son principalmente de seguridad y en el caso de procesos de firma electrónica
cualificadas creadas mediante un dispositivo de creación de firmas electrónicas a distancia
(centralizado), se aplicarán los requisitos aplicables a los proveedores de servicios de confianza
cualificados indicados a continuación:
Pero… ¿QUÉ ES UN PRESTADOR DE SERVICIOS DE CONFIANZA?
• Entre otros…el servicio electrónico prestado habitualmente a cambio de una remuneración, consistente
en la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo
electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios.
… ¿Y UN PRESTADOR DE SERVICIOS DE CONFIANZA CUALIFICADO?
• Un servicio de confianza que cumple los requisitos aplicables establecidos en el ReIDAS
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
8. PRINCIPALES NOVEDADES DEL REGLAMENTO eIDAS…
…EN RELACIÓN A LA GESTIÓN CENTRALIZADA DE CERTIFICADOS
• En este momento, es lógico que nos planteemos si la normativa requiere que para ser Prestador de Servicios de
Confianza Cualificado y así poder proporcionar y gestionar un sistema centralizado de gestión de certificados, es
necesario disponer de algún grado de independencia…
• En relación a este aspecto, el ReIDAS no impone ningún requisito de independencia al prestador de este
servicio.
• Esta afirmación se ve reforzado, como no podía ser de otra forma, por el hecho de que el propio artículo 4.1 del
ReIDAS dispone que “no se impondrá restricción alguna a la prestación de servicios de confianza en el territorio de
un Estado miembro por un prestador de servicios de confianza establecido en otro Estado miembro por razones que
entren en los ámbitos cubiertos por el presente Reglamento”.
• Esto implica que dentro de entornos corporativos, es perfectamente posible gestionar de forma centralizada
los certificados de firma electrónica de los empleados, con la única condición necesaria de que se cualifique
como prestador de servicio de confianza.
• Por tanto, cualquier compañía puede implantar un sistema de este tipo dentro de su organización, con el
único requisito de cumplir con las obligaciones de seguridad indicadas a continuación, así como obtener, de forma
previa a la prestación del servicio, una evaluación de la conformidad expedida por un organismo acreditado, y
presentarla al supervisor nacional correspondiente.
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
9. PRINCIPALES NOVEDADES DEL REGLAMENTO eIDAS…
…EN RELACIÓN A LA GESTIÓN CENTRALIZADA DE CERTIFICADOS
• Ahora bien, a pesar de que el ReIDAS apuesta por la implantación de este tipo de sistemas, requiere el
cumplimiento de una serie de medidas de seguridad encaminadas a garantizar que las firmas
electrónicas obtengan el mismo reconocimiento jurídico que las firmas electrónicas creadas en un
entorno completamente gestionado por el usuario.
• Estas medidas que deben ser cumplidas por el prestador de servicios de confianza son las siguientes:
• Informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados, incluida
la intención de cesar sus actividades;
• Contarán con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la
experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de
protección de datos personales y que apliquen procedimientos administrativos y de gestión que correspondan a normas
europeas o internacionales;
• Con respecto al riesgo de la responsabilidad por daños y perjuicios de conformidad con el artículo 13, mantendrán recursos
financieros suficientes u obtendrán pólizas de seguros de responsabilidad adecuadas, de conformidad con la legislación
nacional;
• Antes de entrar en una relación contractual, informarán, de manera clara y comprensible, a cualquier persona que desee
utilizar un servicio de confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio,
incluidas las limitaciones de su utilización;
• Utilizarán sistemas y productos dignos de confianza que estén protegidos contra toda alteración y que garanticen la
seguridad y la fiabilidad técnicas de los procesos que sustentan;
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
10. PRINCIPALES NOVEDADES DEL REGLAMENTO eIDAS…
…EN RELACIÓN A LA GESTIÓN CENTRALIZADA DE CERTIFICADOS
• (…) Estas medidas que deben ser cumplidas por el prestador de servicios de confianza son las siguientes:
• Utilizarán sistemas dignos de confianza para almacenar los datos que se les faciliten de forma verificable, de modo que:
estén a disposición del público para su consulta solo cuando se haya obtenido el consentimiento de la persona a la que
corresponden los datos; solo personas autorizadas puedan hacer anotaciones y modificaciones en los datos almacenados;
pueda comprobarse la autenticidad de los datos;
• Tomarán medidas adecuadas contra la falsificación y el robo de datos;
• Registrarán y mantendrán accesible durante un período de tiempo apropiado, incluso cuando hayan cesado las actividades
del prestador de servicios de confianza cualificado, toda la información pertinente referente a los datos expedidos y
recibidos por el prestador de servicios de confianza cualificado, en particular al objeto de que sirvan de prueba en los
procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios
electrónicos;
• Contarán con un plan de cesación actualizado para garantizar la continuidad del servicio, de conformidad con las
disposiciones verificadas por el organismo de supervisión con arreglo al artículo 16, apartado 4, letra i);
• Garantizarán un tratamiento lícito de los datos personales de conformidad con la Directiva 95/46/CE”.
• Adoptarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de
confianza que prestan. Habida cuenta de los últimos avances tecnológicos, dichas medidas garantizarán un nivel de
seguridad proporcionada al grado de riesgo.
• Los prestadores deben obtener, de forma previa a la prestación del servicio, una evaluación de la conformidad expedida por
un organismo acreditado, y presentarla al supervisor, que en su caso concederá el estado de cualificado al prestador, todo
ello en los términos dispuestos por los artículos 19 y 21 del ReIDAS, de lo cual se dará publicidad mediante una lista de
confianza publicada en Internet (artículo 22 del ReIDAS).
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
11. PRINCIPALES NOVEDADES DEL REGLAMENTO eIDAS…
…EN RELACIÓN A LA GESTIÓN CENTRALIZADA DE CERTIFICADOS
• Por último, y adicionalmente, el prestador de servicios de confianza cualificado debe cumplir con la
siguiente obligación:
• Obtener, de forma previa a la prestación del servicio, una evaluación de la conformidad
expedida por un organismo acreditado, y presentarla al supervisor, que en su caso
concederá el estado de cualificado al prestador, todo ello en los términos dispuestos por los
artículos 20 y 22 del ReIDAS, de lo cual se dará publicidad mediante una lista de confianza
publicada en Internet (artículo 23 del ReIDAS).
ECIJA Legal & Compliance © 2014 Todos los derechos reservados
13. ECIJA
Torre de Cristal, Pº de la Castellana, 259C. 28046 Madrid.
Spain
ECIJA is full-service independent firm including with offices in
Madrid, Barcelona, Miami and Santiago de Chile
www.ecija.com
In this document ECIJA means ECIJA and/or its affiliated
undertakings. Any reference to a partner means a member,
consultant or employee of ECIJA.
Alonso Hurtado Bueno
Socio IT
T: +34 917 816 160 / 644 020 196
E: alhurtado@ecija.com
Twitter: @ahurtadobueno