Archivo de la categoría: Certificados

Interoperabilidad del certificado de representante (Power of attorney) en #eIdAS

2 respuestas

Para que los certificados de representante sean interoperables a nivel europeo, se propone que en el campo Common Name se incluya la siguiente información:

PoA – P: XXXXX A: YYYYY

Con este significado:

  • PoA (Power of Attorney)
  • P (Principal, Grantor, Donor)
  • A (Attorney-in-fact)
  • XXXX identificación del otorgante (o Poderdante) según norma EN319412
  • YYYY identificación del representante (o Apoderado) según norma EN319412

La información del Poderdante sería la principal del certificado y la del Apoderado podría figurar en Subject Alternative Name

Utilizar una denominación breve en la que figure en primer lugar la identificación del representado facilita el que las personas que actúan con varias representaciones distingan fácilmente el certificado a utilizar cuando se muestra una lista para elegir entre varios. Especialmente si en la lista solo se muestran los primeros caracteres.

Reglamento de Ejecución (UE) 2015/806 de la Comisión, de 22 de mayo de 2015

Deja un comentario

El Parlamento Europeo y  El Consejo de la Unión Europea adoptaron en el verano de 2014 el Reglamento 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (etiquetado #eIdAS o #eIdaTS).

El objetivo del Reglamento es el establecimiento de un marco jurídico claro que garantice el reconocimiento transfronterizo de identidades electrónicas, la interoperabilidad de la firma electrónica y otros servicios de confianza digital tales como los sellos electrónicos, los sellos de tiempo, la custodia de documentos electrónicos o las notificaciones fehacientes, posibilitando las comunicaciones electrónicas entre ciudadanos, empresas y Administraciones públicas y potenciando el comercio y la administración electrónica.

images-eIdaTSMás recientemente, en el Reglamento de ejecución (UE) 2015/806 de la Comisión de 22 de mayo de 2015, se establecen las especificaciones relativas a la forma de la nueva “etiqueta de confianza” «UE» para “servicios de confianza” cualificados.

Esta “etiqueta de confianza” distingue claramente los “servicios de confianza” cualificados de los demás “servicios de confianza”, contribuyendo así a la transparencia en el mercado y fomentando, la confianza en los servicios en línea y la conveniencia de éstos, aspectos esenciales para que los usuarios los aprovechen plenamente y confíen sin reservas en los servicios electrónicos.

La denominación completa de la norma es ta siguiente: Reglamento de Ejecución (UE) 2015/806 de la Comisión, de 22 de mayo de 2015, por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados.

Publicado en: «DOUE» núm. 128, de 23 de mayo de 2015 (DOUE-L-2015-80992)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 23, apartado 3,

Considerando lo siguiente:

(1)

El Reglamento (UE) no 910/2014 establece que los proveedores de servicios de confianza cualificados podrán utilizar una etiqueta de confianza para los servicios de confianza cualificados a fin de reforzar la confianza y la conveniencia para los usuarios. Esta etiqueta de confianza distingue claramente los servicios de confianza cualificados de los demás servicios de confianza, contribuyendo así a la transparencia en el mercado y fomentando por ende la confianza en los servicios en línea y la conveniencia de estos, aspectos esenciales para que los usuarios los aprovechen plenamente y confíen sin reservas en los servicios electrónicos.

(2)

La Comisión organizó un concurso para estudiantes de arte y diseño de los Estados miembros, a fin de recibir propuestas sobre un nuevo logotipo. Un jurado de expertos seleccionó las tres mejores propuestas sobre la base de los criterios especificados en el pliego de condiciones técnicas y de diseño de la «e-Mark U Trust Competition». Se celebró una consulta en línea entre el 14 de octubre y el 14 de noviembre de 2014. El logotipo propuesto, elegido por la mayoría de los visitantes del sitio web durante dicho período y respaldado por una decisión final del jurado, debe ser ahora adoptado como nueva etiqueta de confianza «UE» para servicios de confianza cualificados.

(3)

A fin de que el logotipo pueda utilizarse tan pronto como sea aplicable con arreglo a la legislación de la Unión y de garantizar el funcionamiento efectivo del mercado interior y la competencia leal y proteger los intereses de los consumidores, la nueva etiqueta de confianza «UE» para servicios de confianza cualificados ha sido registrada como marca colectiva en la Oficina de Propiedad Intelectual del Reino Unido, por lo que está en vigor, es utilizable y está protegida. El logotipo será registrado también en los registros de la Unión e internacionales.

(4)

Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

La etiqueta de confianza «UE» para servicios de confianza cualificados será de la forma que se indica en los anexos I y II, sin perjuicio de lo dispuesto en el artículo 2.

Artículo 2

1. Los colores de referencia de la etiqueta de confianza «UE» para servicios de confianza cualificados serán Pantone no 654 y no 116; o azul (100 % cian + 78 % magenta + 25 % amarillo + 9 % negro) y amarillo (19 % magenta + 95 % amarillo), en caso de utilizarse la cuatricromía; cuando se utilicen colores RGB, los colores de referencia serán azul (43 rojo + 67 verde + 117 azul) y amarillo (243 rojo + 202 verde + 18 azul).

2. La etiqueta de confianza «UE» para servicios de confianza cualificados podrá utilizarse solo en blanco y negro, según se muestra en el anexo II, si no resulta práctico utilizar el color.

3. Si la etiqueta de confianza «UE» para servicios de confianza cualificados se utiliza sobre fondo oscuro, podrá utilizarse en formato negativo empleando el mismo color de fondo, tal como se muestra en los anexos I y II.

4. Si la etiqueta de confianza «UE» para servicios de confianza cualificados se utiliza en color sobre un fondo coloreado que dificulte su visualización, podrá utilizarse una línea de delimitación alrededor de dicha etiqueta a fin de mejorar el contraste con los colores del fondo.

Artículo 3

La etiqueta de confianza «UE» para servicios de confianza cualificados tendrá una dimensión mínima que garantice la conservación de los atributos visuales y formas clave, pero su tamaño no será inferior a 64 × 85 píxeles 150 dpi.

Artículo 4

La etiqueta de confianza «UE» para servicios de confianza cualificados se utilizará de una manera que permita reconocer claramente los servicios cualificados que corresponden a la etiqueta. La etiqueta de confianza podrá ir acompañada de elementos gráficos o textuales que indiquen claramente los servicios de confianza cualificados para los que se utiliza, a condición de que no modifiquen la naturaleza de la etiqueta de confianza «UE» para servicios de confianza cualificados ni alteren el vínculo con las listas de confianza aplicables a que se refiere el artículo 23, apartado 2, del Reglamento (UE) no 910/2014.

Artículo 5

El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 22 de mayo de 2015.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

__________

(1) DO L 257 de 28.8.2014, p. 73.

ANEXO I

Etiqueta de confianza «UE» para servicios de confianza cualificados en color

images-eIdaTS

ANEXO II

Etiqueta de confianza «UE» para servicios de confianza cualificados en blanco y negro

eIdaTS-black-and-white

DECISIÓN DE EJECUCIÓN (UE) 2015/296 DE LA COMISIÓN de 24 de febrero de 2015 – procedimiento para la cooperación entre los Estados miembros en materia de identificación electrónica

1 respuesta

Se acaba de publicar la DECISIÓN DE EJECUCIÓN (UE) 2015/296 DE LA COMISIÓN de 24 de febrero de 2015 por la que se establecen las modalidades de procedimiento para la cooperación entre los Estados miembros en materia de identificación electrónica con arreglo al artículo 12, apartado 7, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Texto pertinente a efectos del EEE)

 

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 12, apartado 7,

Considerando lo siguiente:

(1)

La cooperación entre los Estados miembros en materia de interoperabilidad y seguridad de los sistemas de identificación electrónica resulta esencial para fomentar un alto grado de confianza y seguridad que corresponda al nivel de riesgo en tales sistemas.

(2)

El artículo 7, letra g), del Reglamento (UE) no 910/2014 requiere que el Estado miembro notificante facilite a los demás Estados miembros, con seis meses de antelación, una descripción de este sistema, a fin de que los Estados miembros puedan cooperar de la manera descrita en el artículo 12, apartado 5, del Reglamento (UE) no 910/2014.

(3)

La cooperación entre los Estados miembros exige unos procedimientos simplificados. La interoperabilidad y la seguridad de los sistemas de identificación electrónica no pueden crearse mediante procedimientos aplicados en distintas lenguas. La utilización de la lengua inglesa en la cooperación debe facilitar la consecución de la interoperabilidad y la seguridad de los sistemas de identificación electrónica, pese a lo cual la traducción de la documentación ya existente no debe ser origen de cargas poco razonables.

(4)

Diversos elementos de los sistemas de identificación electrónica son gestionados por autoridades u organismos diferentes de los Estados miembros. Para hacer posible una cooperación efectiva y simplificar los procedimientos administrativos, procede velar por que cada Estado miembro disponga de un interlocutor único a través del cual pueda accederse a sus autoridades y organismos competentes.

(5)

El intercambio de información, experiencia y buenas prácticas entre los Estados miembros facilita el desarrollo de los sistemas de identificación electrónica y sirve como herramienta para alcanzar la interoperabilidad técnica. La necesidad de una cooperación de este tipo se justifica específicamente en caso de introducirse adaptaciones en sistemas de identificación electrónica ya notificados o modificaciones de los sistemas de identificación electrónica sobre los que se haya facilitado información a los Estados miembros antes de la notificación, así como en caso de producirse acontecimientos o incidentes importantes que puedan afectar a la seguridad o a la interoperabilidad de los sistemas de identificación electrónica. Asimismo, los Estados miembros deben disponer de los medios necesarios para solicitar este tipo de información relativa a la interoperabilidad y la seguridad de los sistemas de identificación electrónica de los demás Estados miembros.

(6)

La revisión por pares de los sistemas de identificación electrónica debe entenderse como un proceso de aprendizaje mutuo que contribuye a reforzar la confianza entre los Estados miembros y garantiza la interoperabilidad y la seguridad de los sistemas de identificación electrónica notificados. Esto obliga a los Estados miembros notificantes a facilitar suficiente información sobre sus sistemas de identificación electrónica. No obstante, debe tenerse también en cuenta la necesidad de que los Estados miembros preserven la confidencialidad de determinada información, cuando sea fundamental para la seguridad.

(7)

Con el fin de garantizar que el proceso de revisión por pares es rentable y produce resultados claros y concluyentes, así como de evitar cargas innecesarias a los Estados miembros, los Estados miembros deben llevar a cabo colectivamente una sola revisión por pares.

(8)

Los Estados miembros deben tener en cuenta las evaluaciones de terceros independientes, si existen, a la hora de cooperar en asuntos relacionados con los sistemas de identificación electrónica, incluso a la hora de realizar las evaluaciones por pares.

(9)

Con el fin de facilitar las modalidades de procedimiento para alcanzar los objetivos del artículo 12, apartados 5 y 6, del Reglamento (UE) no 910/2014, debe crearse una Red de Cooperación. Su propósito es garantizar la existencia de un foro que pueda incluir a todos los Estados miembros y les permita cooperar de manera formal en relación con los aspectos prácticos del mantenimiento del marco de interoperabilidad.

(10)

La Red de Cooperación debe examinar los proyectos de formularios de notificación facilitados por los Estados miembros de conformidad con el artículo 7, letra g), del Reglamento (UE) no 910/2014 y emitir dictámenes que proporcionen indicaciones respecto a la conformidad de los sistemas en ellos descritos con los requisitos de los artículos 7, 8, apartados 1 y 2, y 12, apartado 1, de dicho Reglamento y el acto de ejecución a que se hace referencia en el artículo 8, apartado 3, de dicho Reglamento. El artículo 9, apartado 1, letra e), del Reglamento (UE) no 910/2014 exige que los Estados miembros notificantes describan cómo cumple el sistema de identificación electrónica notificado los requisitos de interoperabilidad con arreglo al artículo 12, apartado 1, del Reglamento (UE) no 910/2014. En particular, los dictámenes de la Red de Cooperación deben ser tenidos en cuenta por los Estados miembros cuando se preparen para cumplir la obligación que les impone el artículo 9, apartado 1, letra e), del Reglamento (UE) no 910/2014 de describir a la Comisión cómo cumple el sistema de identificación electrónica notificado los requisitos de interoperabilidad con arreglo al artículo 12, apartado 1, del Reglamento (UE) no 910/2014.

(11)

Todas las partes implicadas en la notificación deben tomar nota del dictamen de la Red de Cooperación como orientación para todos los procesos de cooperación, notificación e interoperabilidad.

(12)

A fin de garantizar la eficacia del proceso de revisión por pares realizado en virtud de la presente Decisión, procede que la Red de Cooperación facilite orientaciones a los Estados miembros.

(13)

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014.

HA ADOPTADO LA PRESENTE DECISIÓN:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objetivo

Con arreglo al artículo 12, apartado 7, del Reglamento, la presente Decisión establece las modalidades de procedimiento para facilitar la cooperación entre los Estados miembros, en la medida necesaria para garantizar la interoperabilidad y la seguridad de los sistemas de identificación electrónica que los Estados miembros tengan intención de notificar o hayan notificado a la Comisión. Las modalidades se refieren, en particular:

a)

al intercambio de información, experiencia y buenas prácticas sobre los sistemas de identificación electrónica y el examen de las novedades pertinentes en el sector de la identificación electrónica, según lo establecido en el capítulo II;

b)

a la revisión por pares de los sistemas de identificación electrónica, según lo establecido en el capítulo III, y

c)

a la cooperación a través de la Red de Cooperación, según lo establecido en el capítulo IV.

Artículo 2

Lengua de la cooperación

1.   Salvo que los Estados miembros afectados acuerden otra cosa, la lengua de la cooperación será el inglés.

2.   Pese a lo dispuesto en el apartado 1, los Estados miembros no estarán obligados a traducir los documentos justificativos a que se refiere el artículo 10, apartado 2, cuando ello suponga una carga excesiva.

Artículo 3

Interlocutor único

1.   A efectos de la cooperación entre los Estados miembros en virtud del artículo 12, apartados 5 y 6, del Reglamento (UE) no 910/2014, cada Estado miembro designará un interlocutor único.

2.   Cada Estado miembro comunicará a los demás Estados miembros y a la Comisión la información sobre dicho interlocutor único. La Comisión pondrá en línea una lista de los interlocutores únicos.

CAPÍTULO II

INTERCAMBIO DE INFORMACIÓN, EXPERIENCIA Y BUENAS PRÁCTICAS

Artículo 4

Intercambio de información, experiencia y buenas prácticas

1.   Los Estados miembros deberán compartir la información, la experiencia y las buenas prácticas relativas a los sistemas de identificación electrónica con los demás Estados miembros.

2.   Cada Estado miembro informará, por tanto, a los demás Estados miembros cuando introduzca cualquiera de las modificaciones, mejoras o adaptaciones siguientes, que guardan relación con la interoperabilidad o los niveles de seguridad del sistema:

a)

las mejoras o adaptaciones de su sistema de identificación electrónica ya notificado, cuando no requieran notificación con arreglo al artículo 9, apartado 1, del Reglamento (UE) no 910/2014;

b)

las modificaciones, mejoras o adaptaciones de la descripción de su sistema de identificación electrónica facilitada con arreglo al artículo 7, letra g), del Reglamento (UE) no 910/2014 que se produjeron antes de la notificación.

3.   Cuando un Estado miembro tenga conocimiento de cualquier hecho o incidente importante que no esté relacionado con su sistema de identificación electrónica notificado, pero que puede afectar a la seguridad de otros sistemas de identificación electrónica notificados, informará de ello a los demás Estados miembros.

Artículo 5

Solicitud de información sobre interoperabilidad y seguridad

1.   Cuando un Estado miembro considere que, a fin de garantizar la interoperabilidad entre los sistemas de identificación electrónica, es necesario disponer de información complementaria a la ya facilitada por el Estado miembro que notificó el sistema de identificación electrónica, podrá solicitar a este dicha información. El Estado miembro notificante deberá facilitar dicha información, a menos que:

a)

no esté en posesión de la misma y obtenerla suponga una carga administrativa desproporcionada;

b)

la información se refiera a cuestiones de seguridad pública o seguridad nacional;

c)

la información se refiera a cuestiones relacionadas con secretos comerciales, profesionales o empresariales.

2.   Con el fin de mejorar la seguridad de los sistemas de identificación electrónica, un Estado miembro que tenga una duda en materia de seguridad en relación con un sistema que haya sido notificado o esté en proceso de notificación podrá solicitar información sobre dicha duda. El Estado miembro objeto de la solicitud deberá facilitar a todos los Estados miembros la información pertinente solicitada para determinar si se ha producido una violación de seguridad con arreglo al artículo 10 del Reglamento (UE) no 910/2014 o determinar si existe un riesgo real de que pueda producirse tal violación, a menos que:

a)

no esté en posesión de la misma y obtenerla suponga una carga administrativa desproporcionada;

b)

la información se refiera a cuestiones de seguridad pública o seguridad nacional;

c)

la información se refiera a cuestiones relacionadas con secretos comerciales, profesionales o empresariales.

Artículo 6

Intercambio de información a través de los interlocutores únicos

Los Estados miembros intercambiarán información con arreglo a los artículos 4 y 5 a través de los interlocutores únicos y facilitarán la información pertinente solicitada sin demora indebida.

CAPÍTULO III

REVISIÓN POR PARES

Artículo 7

Principios

1.   La revisión por pares es un mecanismo de cooperación entre Estados miembros cuyo objetivo es garantizar la interoperabilidad y la seguridad de los sistemas de identificación electrónica notificados.

2.   La participación de los Estados miembros pares será voluntaria. El Estado miembro cuyo sistema de identificación electrónica vaya a ser sometido a una revisión por pares no podrá negarse a que determinado Estado miembro participe como par en dicho proceso.

3.   Cada Estado miembro que participe en el proceso de revisión por pares correrá con los gastos que suponga su participación en dicho proceso.

4.   La información obtenida a través del proceso de revisión por pares deberá utilizarse exclusivamente con este fin. Los representantes de los Estados miembros que lleven a cabo la revisión por pares no revelarán a terceros ninguna información sensible o confidencial obtenida en el transcurso de dicha revisión.

5.   Los Estados miembros pares deberán revelar cualquier posible conflicto de intereses que puedan tener los representantes designados por ellos para tomar parte en las actividades de revisión.

Artículo 8

Inicio del proceso de revisión por pares

1.   El proceso de revisión por pares podrá iniciarse de dos maneras distintas:

a)

un Estado miembro solicita que su sistema de identificación electrónica sea sometido a una revisión por pares;

b)

uno o más Estados miembros expresan el deseo de llevar a cabo la revisión por pares del sistema de identificación electrónica de otro Estado miembro. En su solicitud, deberán indicar las razones por las que desean llevar a cabo la revisión por pares y explicar cómo contribuirá dicha revisión a la interoperabilidad y seguridad de los sistemas de identificación electrónica de los Estados miembros.

2.   Las solicitudes a que se refiere el apartado 1 se comunicarán a la Red de Cooperación de conformidad con el apartado 3. Los Estados miembros que tengan intención de participar en la revisión por pares deberán comunicarlo a la Red de Cooperación en el plazo de un mes.

3.   El Estado miembro cuyo sistema de identificación electrónica vaya a ser sometido a una revisión por pares deberá facilitar a la Red de Cooperación la siguiente información:

a)

el sistema de identificación electrónica objeto de revisión;

b)

el o los Estados miembros pares;

c)

el calendario para la presentación a la Red de Cooperación del resultado esperado, y

d)

las modalidades de realización de la revisión por pares con arreglo al artículo 9, apartado 2.

4.   Una vez realizada la revisión por pares, el sistema de identificación electrónica no será sometido a otra revisión dentro de los dos años siguientes, salvo que así lo haya acordado la Red de Cooperación.

Artículo 9

Preparación de la revisión por pares

1.   Los Estados miembros que intervengan como pares facilitarán al Estado miembro cuyo sistema de identificación electrónica sea objeto de revisión los nombres y datos de contacto de los representantes suyos que participarán en la revisión dentro de las dos semanas siguientes al momento en que dichos Estados miembros hayan informado de su intención de participar en la revisión con arreglo al artículo 8, apartado 2. El Estado miembro cuyo sistema de identificación electrónica vaya a ser sometido a revisión por pares podrá denegar la participación de un representante en caso de conflicto de interés.

2.   Teniendo en cuenta las orientaciones facilitadas por la Red de Cooperación, el Estado miembro cuyo sistema de identificación electrónica sea sometido a revisión por pares y los Estados miembros pares se concertarán sobre:

a)

el alcance y las modalidades de la revisión por pares sobre la base del ámbito de aplicación del artículo 7, letra g), o del artículo 9, apartado 1, del Reglamento (UE) no 910/2014 y del interés expresado por los Estados miembros pares en la fase de inicio;

b)

el calendario de las actividades de revisión por pares, a fin de determinar un plazo, que no podrá exceder de tres meses a partir del momento en que los Estados miembros pares faciliten los nombres y datos de contacto de sus representantes de conformidad con el apartado 1;

c)

otras modalidades de organización relacionadas con el proceso de revisión por pares.

El Estado miembro cuyo sistema de identificación electrónica sea objeto de una revisión por pares deberá informar de este acuerdo a la Red de Cooperación.

Artículo 10

Revisión por pares

1.   Los Estados miembros participantes llevarán a cabo la revisión por pares de forma conjunta. Los representantes de los Estados miembros elegirán entre ellos mismos a un representante para coordinar la revisión.

2.   El Estado miembro cuyo sistema de identificación electrónica sea objeto de una revisión por pares facilitará a los Estados miembros pares el formulario de notificación presentado a la Comisión, o una descripción del sistema con arreglo al artículo 7, letra g), del Reglamento (UE) no 910/2014 en caso de que el sistema de identificación electrónica todavía no haya sido notificado. También facilitará todos los documentos justificativos e información adicional pertinente.

3.   La revisión por pares podrá incluir, sin que la relación sea exhaustiva, uno o varios de los siguientes aspectos:

a)

evaluación de la documentación pertinente;

b)

examen de los procesos;

c)

seminarios de carácter técnico, y

d)

consideración de la evaluación por terceros independiente.

4.   Los Estados miembros pares podrán solicitar documentación adicional relacionada con la notificación. El Estado miembro cuyo sistema de identificación electrónica sea objeto de revisión por pares deberá facilitar dicha información a menos que:

a)

no esté en posesión de la misma y obtenerla suponga una carga administrativa desproporcionada;

b)

la información se refiera a cuestiones de seguridad pública o seguridad nacional;

c)

la información se refiera a cuestiones relacionadas con secretos comerciales, profesionales o empresariales.

Artículo 11

Resultados de la evaluación por pares

Los Estados miembros pares prepararán y presentarán un informe destinado a la Red de Cooperación en el plazo de un mes a partir de la finalización del proceso de revisión por pares. Los miembros de la Red de Cooperación podrán solicitar información suplementaria o aclaraciones al Estado miembro cuyo sistema de identificación electrónica haya sido objeto de una revisión por pares o a los Estados miembros pares.

CAPÍTULO IV

LA RED DE COOPERACIÓN

Artículo 12

Creación y métodos de trabajo

Queda establecida una red para fomentar la cooperación con arreglo al artículo 12, apartados 5 y 6, del Reglamento (UE) no 910/2014 (denominada «Red de Cooperación»). La Red de Cooperación desempeñará su trabajo a través de una combinación de reuniones y de procedimientos escritos.

Artículo 13

Proyecto de formulario de notificación

Cuando el Estado miembro notificante facilite la descripción de su sistema de identificación electrónica con arreglo al artículo 7, letra g), del Reglamento (UE) no 910/2014, transmitirá a la Red de Cooperación el proyecto de formulario de notificación debidamente cumplimentado y toda la documentación complementaria precisa, tal como se especifica en el artículo 9, apartado 1, del Reglamento (UE) no 910/2014, y en el acto de ejecución a que se refiere el artículo 9, apartado 5, del Reglamento (UE) no 910/2014.

Artículo 14

Funciones

La Red de Cooperación estará facultada para:

a)

facilitar la cooperación entre los Estados miembros sobre el establecimiento y el funcionamiento del marco de interoperabilidad con arreglo al artículo 12, apartados 5 y 6, del Reglamento (UE) no 910/2014, mediante el intercambio de información;

b)

establecer métodos para un intercambio de información eficaz en relación con todos los temas relacionados con la identificación electrónica;

c)

examinar los avances pertinentes en el sector de la identificación electrónica y debatir y desarrollar buenas prácticas en materia de interoperabilidad y seguridad de los sistemas de identificación electrónica;

d)

adoptar dictámenes sobre las novedades relacionadas con el marco de interoperabilidad a que se refiere el artículo 12, apartados 2 a 4, del Reglamento (UE) no 910/2014;

e)

adoptar dictámenes sobre la evolución de las especificaciones técnicas mínimas, las normas y los procedimientos relativos a los niveles de seguridad previstos en el acto de ejecución adoptado con arreglo al artículo 8, apartado 3, del Reglamento (UE) no 910/2014 y a las orientaciones que acompañan a dicho acto de ejecución;

f)

adoptar orientaciones sobre el ámbito de aplicación de la evaluación por pares y sus modalidades;

g)

examinar los resultados de las revisiones por pares con arreglo al artículo 11;

h)

examinar el proyecto de formulario de notificación cumplimentado;

i)

adoptar dictámenes sobre la manera en que un sistema de identificación electrónica que se va a notificar, y cuya descripción se ha facilitado con arreglo al artículo 7, letra g), del Reglamento (UE) no 910/2014, cumple los requisitos de los artículos 7, 8, apartados 1 y 2, y 12, apartado 1, de dicho Reglamento y el acto de ejecución a que se refiere el artículo 8, apartado 3, de dicho Reglamento.

Artículo 15

Composición

1.   Serán miembros de la Red de Cooperación los Estados miembros y los países del Espacio Económico Europeo.

2.   Los representantes de los países adherentes serán invitados por el Presidente a asistir como observadores a las reuniones de la Red de Cooperación a partir de la fecha de la firma del Tratado de adhesión.

3.   El Presidente podrá invitar a expertos externos a la Red de Cooperación, que tengan competencias específicas sobre un tema del orden del día, a que participen en el trabajo de la Red de Cooperación o de un subgrupo, de forma ocasional, previa consulta a la Red de Cooperación. Asimismo, el presidente podrá otorgar la condición de observador a personas y organizaciones previa consulta a la Red de Cooperación.

Artículo 16

Funcionamiento

1.   Las reuniones de la Red de Cooperación estarán presididas por la Comisión.

2.   En concertación con la Comisión, la Red de Cooperación podrá crear subgrupos para examinar cuestiones específicas sobre la base de un mandato definido por la Red de Cooperación. Los subgrupos dejarán de existir desde el momento en que hayan cumplido su mandato.

3.   Los miembros de la Red de Cooperación, así como los expertos invitados y observadores, deberán cumplir las obligaciones de secreto profesional previstas en los Tratados y en sus disposiciones de aplicación, así como las normas de seguridad de la Comisión relativas a la protección de la información clasificada de la UE, establecidas en el anexo de la Decisión 2001/844/CE, CECA, Euratom de la Comisión (2). En caso de que no respeten esas obligaciones, la Comisión podrá adoptar todas las medidas adecuadas.

4.   La Red de Cooperación celebrará sus reuniones en los locales de la Comisión. La Comisión prestará los servicios de secretaría.

5.   La Red de Cooperación publicará los dictámenes que adopte con arreglo al artículo 14, letra i), en un sitio web específico. Cuando un dictamen contenga información confidencial, la Red de Cooperación adoptará una versión no confidencial del dictamen a efectos de dicha publicación.

6.   La Red de Cooperación adoptará su reglamento interno por mayoría simple de sus miembros.

Artículo 17

Gastos de reunión

1.   La Comisión no remunerará los servicios de quienes participen en las actividades de la Red de Cooperación.

2.   Los gastos de viaje de los participantes en las reuniones de la Red de Cooperación podrán ser reembolsados por la Comisión. El reembolso lo efectuará de acuerdo con las disposiciones en ella vigentes y dentro del límite de los créditos disponibles que se hayan atribuido a sus servicios en virtud del procedimiento anual de asignación de recursos.

Artículo 18

Entrada en vigor

La presente Decisión entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Hecho en Bruselas, el 24 de febrero de 2015.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

(1)  DO L 257 de 28.8.2014, p. 73.

(2)  Decisión 2001/844/CE, CECA, Euratom de la Comisión, de 29 de noviembre de 2001, por la que se modifica su Reglamento interno (DO L 317 de 3.12.2001, p. 1).

 

 

 

Servicios OCSP de FNMT abiertos y gratuitos

3 respuestas

Casi dos años después de que se propusiera como medida de la Comisión para la Reforma de las Administraciones Públicas (CORA), el Consejo de Ministros ha autorizado el pasado 27 de octubre de 2014  la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

La nota de prensa completa se puede leer aquí. Esta es su transcripción:

Encomienda entre la Administración General del Estado y la FNMT para servicios de certificación electrónica

El Consejo de Ministros ha autorizado la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

Esta encomienda se enmarca dentro del Informe de la Comisión para la Reforma de las Administraciones Públicas (CORA), y será de aplicación en los órganos, organismos y entidades pertenecientes a la Administración General del Estado.

Además, aquellos organismos que no formen parte de la AGE, así como otras instituciones y poderes del Estado y/o sociedades estatales que ejerzan funciones públicas, podrán sumarse a la encomienda, previa vinculación del presupuesto correspondiente.

Con esta encomienda global se persigue reducir el esfuerzo, tiempo y recursos de los departamentos, organismos encomendantes y de la propia FNMT – RCM. Además, supondrá un ahorro de costes para la Administración General del Estado y la posibilidad de extender los servicios de firma electrónica a otros organismos.

La contraprestación a percibir por la FNMT-RCM para el ejercicio 2015 será de 2,79 millones de euros, inferior al gasto actual realizado por los organismos que quedan incluidos en el ámbito de la encomienda. Debe tenerse en cuenta además que el ámbito de aplicación es mayor que el de las encomiendas actuales.

La entrada en vigor será el 1 de noviembre de 2014 con la prestación de servicios a los servicios centrales del Ministerio de Hacienda y Administraciones Públicas, y el 1 de enero de 2015 para el resto de los departamentos y organismos incluidos en su ámbito de aplicación, con una vigencia hasta el 31 de diciembre de 2015, pudiendo prorrogarse por años naturales.

Con esta encomienda y este presupuesto, no tiene sentido mantener la anomalía que supone que los servicios de certificación digital de la FNMT no ofrecen servicios OCSP abiertos y gratuitos para cualquier servicio público o privado que quiera admitir el uso de los certificados de la FNMT.

Yo creo que los aspectos claves de la encomienda de gestión y los que justifican su elevado coste son los que tienen que ver con el mantenimiento de múltiples sistemas de emisión de certificados y gestión de RA (Registration Authority» para funcionarios, empleados que trabajan al servicio de las administraciones públicas y de la administración de justicia y ciudadanos que pueden solicitar sus certificados en múltiples organismos públicos cuyos funcionarios se han de formar, auditar y administrar.

Seguro que también supone un esfuerzo la tarea (no lograda a día de hoy) de que los certificados de la FNMT se incluyan en los repositorios de confianza de los sistemas operativos, de los navegadores y de los lectores de ficheros PDF, y dejen de aparecer los avisos de «este certificado no es de confianza»

También supone un esfuerzo redactar y mantener las políticas y prácticas de certificación y sus declaraciones.

Supone un esfuerzo asesorar a las diferentes administraciones públicas respecto a la forma de integrar sistemas que hacen uso de los certificados de la FNMT, en su emisión o aceptación.

Hay muchos costes que merecen compensación. Pero no es uno de ellos el mantenimiento de los servidores OCSP que con el último Reglamento Europeo EU 910/2014 han de ser abiertos y gratuitos para todos los prestadores de servicios de confianza digital que expiden certificados cualificados.

Esperamos que quienes negocien la encomienda de gestión tengan en cuenta estos aspectos que parecen obvios pero no se han resuelto en los más de 15 años desde que se inició el proyecto CERES (Certificación Española) en la FNMT.

Por cierto, la disponibilidad abierta y gratuita de los servicios OCSP debe ir acompañada de una correcta codificación de los certificados de la FNMT que en la actualidad siguen siendo una anomalía en la aplicación de la normativa técnica. Entre los aspectos que deben incluir destaca el que ha de servir para saber si un certificado es válido: la inserción en elcampo AIA (Authority Information Access) de la información relativa a la dirección URL en la que está diponible el servicio OCSP abierto y gratuito.

Veremos si finalmente priman los principios de la Comisión para la Reforma de las Administraciones Públicas o si se preservan intereses espúreos, ajenos a los interese de la sociedad española.

Información OCSP en AIA

1 respuesta

El servicio OCSP (Online Certificate Status Protocol) ofrece información estandarizada, definida en la especificación RFC 6960 (que actualiza la RFC 2560) sobre el estado de un certificado digital. Es decir, informa sobre si el certificado consultado esta vigente o revocado. Este servicio responde a las aplicaciones cliente que realicen una petición estandarizada y sepan interpretar la respuesta.

La extensión AIA (Authority Information Access, en español Acceso a la Información de Autoridad) está definida en la norma RFC 6818 (que actualiza la especificación RFC 5280, que ha tenido otras versiones y actualizaciones (RFCs  3280, 4325, 4630).

The authority information access extension indicates how to access  information and services for the issuer of the certificate in which  the extension appears.  Information and services may include on-line  validation services and CA policy data.  (The location of CRLs is not  specified in this extension; that information is provided by the  cRLDistributionPoints extension.)  This extension may be included in  end entity or CA certificates.

Traducción:

La extensión de acceso a la información de autoridad indica cómo acceder a  información y servicios del emisor del certificado en el que aparece esta extensión. Entre la Información y los servicios referenciados se pueden incluir  servicios de validación en línea y datos de política de la CA. Esta extensión se puede incluir tanto en certificados de entidad final como en certificados de CA (Autoridad de Certificación).

La ubicación de las CRL no se indica en esta extensión, ya que existe otra para ello:

cRLDistributionPoints

La especificación de la estensión en formato ASN.1 es la siguiente:

id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }

   AuthorityInfoAccessSyntax  ::=
           SEQUENCE SIZE (1..MAX) OF AccessDescription

   AccessDescription  ::=  SEQUENCE {
           accessMethod          OBJECT IDENTIFIER,
           accessLocation        GeneralName  }

   id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }

   id-ad-caIssuers OBJECT IDENTIFIER ::= { id-ad 2 }

   id-ad-ocsp OBJECT IDENTIFIER ::= { id-ad 1 }

Duración de la validez de los certificados cualificados o reconocidos

3 respuestas

El  artículo 8 de la Ley 59/2003, de 19 de diciembre, de firma electrónica ha cambiado su redacción por la disposición final sexta de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones («B.O.E.» 10 mayo; Corrección de errores «B.O.E.» 17 mayo)

En su apartado 2, la norma indicaba:

El período de validez de los certificados electrónicos será adecuado a las características y tecnología empleada para generar los datos de creación de firma.

En el caso de los certificados reconocidos este período no podrá ser superior a cuatro años.

Tras la modificación, queda:

2. El período de validez de los certificados electrónicos será adecuado a las características y tecnología empleada para generar los datos de creación de firma. En el caso de los certificados reconocidos este período no podrá ser superior a cinco años.

 

Sin embargo, pese a lo que diga la Ley, lo cierto es que no existe limitación específica en cuanto a la duración de los certificados cualificados (o reconocidos) ya que el recientemente aprobado Reglamento europeo – Identificación electrónica y servicios de confianza para las transacciones electrónicas en el mercado interior (en inglés REGULATION (EU) No …/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on electronic identification and trust services for electronic transactions in the internal market) al igual que la Directiva 1999/93/EC (Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures ) no definen ningún límite y por tanto no puede aplicarse una restricción en un país miembro que limite la prestación de servicios de confianza de prestadores supervisados por otro.

Por poner un ejemplo, si el DNI electrónico incluyera certificados electrónicos válidos por 10 años (o la duración prevista del soporte), estaría cumpliendo el Reglamento Europeo que prima sobre la Ley española, y por tanto serían legales.

Una pena realizar una modificación de la Ley de Firma electrónica por una tontería, y que encima sea inútil.

 

 

No se emitirán certificados para sitios web para más de 4 años

Deja un comentario

La industria de certificación para sitios web que facilita el cifrado SSL/TLS se reúne periódicamente bajo la organización CAB (CA-Browser) Forum y acuerda las normas que se aplican en toda la industria SSL/TLS.

Una de estas normas es la eliminación de los certificados SSL/TLS con una validez de más de 4 años.

Esto aplica en todo el sector a partir del 1 de julio de 2012. Los certificados emitidos por RapidSSL, Symantec, Thawte y Geotrust, entre otras ya no estarán disponibles para períodos mayores de 4 años a partir del 13 de junio de 2012.

Firma electrónica y servicios de certificación electrónica

Deja un comentario

El pasado 29 de octubre de 2003 tuvo lugar en la sede de la Editorial El Derecho un encuentro propiciado por la editorial junto con la Asociación Española de Derecho y Propiedad Intelectual (AEDPI), en la que tuve la oportunidad de participar, para debatir sobre un tema innovador y de  actualidad: La firma electrónica y los servicios de certificación.

Se incluye a continuación el resumen publicado en la  Revista de la Asociación de Antiguos Alumnos – Centro de Estudios Garrigues en su número de diciembre de 2003

Asistieron a este debate  José Luis Terrero Chacón, Magistrado de la Audiencia Nacional y miembro del Consejo Editorial del El Derecho Editores; José Daniel Sanz Heredero, Letrado jefe de la Sección de informática Judicial del C.G.P.J. y Magistrado de la Sala Contencioso Administrativa del T.S.J. de Madrid; César Belda Casanova, Director General de la Fundación para el Estudio de la Seguridad en las Comunicaciones (FESTE) y vocal de la Comisión de Control Informático del Colegio de Notarios; José María Anguiano Jiménez, Socio responsable de Nuevas Tecnologías de la firma Garrigues y Secretario General de la AEDPI; Julián Inza Aldaz, Director General de AC Camerfirma, S.A. y, como moderador del debate, intervino Alfonso García Catalán, Jefe del Área de Calidad y Desarrollo Estratégico (CERES) Fábrica Nacional de Moneda y Timbre.

En este apasionante debate se valoraron los aspectos más significativos del nuevo Proyecto de Ley de firma electrónica, que sustituirá al prematuro Real Decreto Ley 14/1999, aprobado tres meses antes que su norma rectora: la Directiva Comunitaria 1999/93/CE.

El nuevo marco normativo de la firma electrónica

Coincidieron los presentes  en la creencia de que el nuevo marco normativo, claramente influido por una política liberalizadora, pone fin, en palabras de César Belda, a una situación de facto de monopolio de la Fábrica Nacional de Moneda y Timbre para abrir la entrada a otros operadores en el mercado de la certificación.

La clave del éxito –según José María Anguiano– descansará en las propias prácticas y políticas de los Prestadores de servicios de certificación (PSC). Se generará, explicó, un auténtico mercado basado en la confianza, donde resultarán favorecidas las entidades que cuenten con mecanismos de confianza sólidos que las avalen.

La firma electrónica: su necesidad

Sobre la necesidad, o no, de la firma electrónica, José Luis Terrero afirmó que “la prueba seguirá siendo prueba, ya esté el documento firmado electrónicamente o mediante un grafismo”, de forma que, continuó diciendo, “al final un correo electrónico se puede convertir a fin de cuentas –de no impugnarse por la parte a quien perjudica- en un documento que despliegue con todo su vigor efectos probatorios, al igual que otro basado en tecnología de firma electrónica con criptosistemas asimétricos”.

En relación a este particular, Julián Inza consideró que no debe ser siempre necesaria la certificación. En este sentido, precisó, el cruce de correos electrónicos con personas conocidas, implica, la mayoría de las veces, para el destinatario una presunción de validez de la autoría del mensaje recibido.

El problema surge, explicó Julián Inza, en determinadas ocasiones, cuando el negocio jurídico o la declaración de voluntad inserta en el documento electrónico pretende vincular al autor de la misma frente al receptor, ya que de impugnarse el documento en sede judicial resultaría sencillo acreditar por un perito la falsificación de un e-mail, porque las técnicas con las que contamos en la actualidad lo permiten y, por ende, la posibilidad de diseñar éste a la medida de quien interese.

La eficacia probatoria de la firma electrónica

En el contexto del debate resultaba obligado abordar la eficacia probatoria de la firma electrónica.

Los efectos probatorios que en el marco del proceso pueda desplegar una firma electrónica están influidos por clase o tipo de firma, puesto que la redacción del nuevo ordinal tercero del artículo 326 de la ley de Enjuiciamiento Civil (LEC) remite a la Ley de firma electrónica que diferencia sus variantes.

Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica

En este sentido, el artículo 3 del Proyecto comienza por dar una definición in genere del concepto de firma electrónica: “conjunto de datos en forma electrónica consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”.

Configura, además, dentro de este concepto otra clase de firma: la electrónica avanzada –en adelante F.E.Av.– entendida como “la que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados-, que está vinculada al firmante de manera única y a los datos a que se refiere y por haber sido creada por medios que el firmante puede mantener bajo su exclusivo control.

Por último, y como novedad, la Ley acuña el término firma electrónica reconocida –en adelante F.E.Rec.- (que se podría haber traducido como cualificada si se respetara el término en inglés de la Directiva de la que trae causa) para referirse a: ”la firma electrónica avanzada basada en un certificado reconocido (cualificado) y generada mediante un dispositivo seguro de
creación de firma”que “tendrá respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los datos consignados en el papel”.

De tal manera que, reconocida la eficacia probatoria de toda clase de documentos firmados electrónicamente, públicos y privados, según avanza el Proyecto de Ley (en su artículo 3.5), el soporte en el que figuren los datos firmados electrónicamente será, siempre, admisible como prueba documental en juicio, siendo indiferente el tipo de firma utilizada.

Por otro lado, será posible defender la autoría de los documentos firmados con F.E.Av., con la proposición de un dictamen pericial conforme al artículo 352 L.E.C. en relación a su correlativo artículo 299.2 de la misma norma.

Sin embargo, podría ser estéril recurrir a un perito en el caso de que el signatario no utilice ni F.E.Av., ni F.E.Rec., ya que el resultado del dictamen no responderá a las expectativas de la parte que pugna por defender el valor probatorio del documento. Serán entonces las reglas de la sana crítica las que auxilien al Juez para establecer su valoración. Por tanto, el documento firmado con F.E.Rec. tendrá respecto a los datos consignados el mismo valor jurídico que la firma manuscrita (según se indica en el artículo 3.4), por lo que ipso iure se genera una presunción de validez.

César Belda apostilló que tendrá más valor, incluso, que la firma manuscrita. Esto es así porque en una eventual impugnación por la contraparte, no se precisa un cotejo pericial de letras, y el dictamen pericial demostraría tanto la autenticación de las partes, como la integridad del texto firmado. Por tanto sus efectos serían similares a los desplegados por un documento público, haciendo prueba plena en juicio sin necesidad de comprobación o cotejo salvo prueba en contrario.

En opinión de César Belda, el juez tendrá, además, que evaluar la diligencia de la entidad de certificación, ya que podríamos encontrarnos ante una usurpación de personalidad en la que un tercero se hiciera pasar por un supuesto signatario, firmando documentos electrónicamente con sus propios datos de creación de firma indebidamente asociados a la identidad usurpada.

Deberá decaer, al igual, la presunción de validez e imputabilidad del titular de la firma cuando los hechos justifiquen serias dudas de que la declaración se haya realizado conforme a la voluntad del firmante –por ejemplo por haber fallecido en fecha anterior.

La responsabilidad de los prestadores de los servicios de
certificación

Por último, en relación a la responsabilidad de los PSC, José María Anguiano expuso que la redacción actual del Proyecto permite la exoneración de responsabilidades de los prestadores de servicios de certificación.

César Belda ejemplificó en este sentido que el Proyecto de Ley obliga a que el receptor compruebe -en caso de recibir éste una proposición comercial de una persona jurídica- si ese acto de comercio se encuentra dentro del objeto social de la empresa; de manera que de no comprobar el receptor, esto podría ser causa de exoneración del PSC so pretexto de obviar el destinatario las restricciones del certificado electrónico respecto a sus usos.

De esta manera, y para concluir, nos encontramos ante una normativa que consagrará la utilización empresarial de las nuevas tecnologías, acrecentará el uso del comercio electrónico por los particulares, facilitará los actos de comunicación con la administración proporcionando seguridad, tanto a las empresas como a los ciudadanos, en la tramitación de sus gestiones, y permitirá, además, una mayor comodidad en las relaciones de abogados y procuradores junto con un mayor dinamismo y celeridad de la resolución de los procedimientos judiciales.