La norma ISO / IEC 29115: 2013 – Entity Authentication Assurance Framework es esencial para el cumplimiento de diversas disposiciones legales, en particular el Reglamento Europeo UE 910/2014 como referencia a los niveles de garantía de la identificación electrónica (LoA Levels of Assurance), y como referencia para los niveles de garantía identificadas que marquen la evolución del sistema Cl@ve, cuyo funcionamiento se encuentra regulado por la Orden PRE/1838/2014, de 8 de octubre, por la que se publica el Acuerdo de Consejo de Ministros, de 19 de septiembre de 2014, por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.
Esta norma se deriva de la norma ITU X.1254 : Entity authentication assurance framework
El nivel de garantía (Level of Assurance LoA) al que hace mención esta Norma Internacional se refiere a la confianza que merecen los procesos, las actividades de gestión y tecnologías utilizados para establecer y gestionar de forma efectiva la identidad de una entidad para su uso en las transacciones de autenticación.
La Norma Internacional ISO / IEC 29115: 2013 ofrece una guía fundamental para la gestión de la garantía de la autenticación de entidad en un contexto dado. En particular, se centra en los:
- Cuatro niveles de garantía de la autenticación de la entidad;
- Criterios y directrices para y el logro de cada uno de los cuatro niveles de garantía de la autenticación de la entidad;
- Orientación para la correspondencia de otros sistemas de garantía de autenticación a los cuatro niveles de garantía especificados ;
- Orientación para el intercambio de los resultados de autenticación que se basa en los cuatro niveles de garantía ;
- Orientación en cuanto a los controles que se deben utilizar para mitigar las amenazas relativas a la autenticación.
Utilizando los cuatro niveles especificados de garantía (LoAs), el documento presenta las pautas relativas a las tecnologías de control, los procesos y las actividades de gestión, así como los criterios de garantía de que se deben utilizar para mitigar las amenazas relativas a la autenticación con el fin de poner en práctica los cuatro niveles de garantía.
También proporciona una idea sobre la forma en que se corresponden otros sistemas de garantía de autenticación con los cuatro niveles especificados en la norma y orientas obre la forma de intercambiar resultados de una transacción de autenticación. Por último, esta Norma Internacional proporciona orientación informativa relativa a la protección de la información de identificación personal asociado con el proceso de autenticación.
La norma ISO / IEC 29115: 2013 ayuda a lograr:
- Establecimiento el servicio
- Cumplimiento Legal y Contractual
- Disposiciones financieras
- Gestión de la seguridad de la información y de auditoría
- Componentes de servicios externos
- Métricas de capacidades operativas
La norma se destina principalmente a proveedores de servicios de credenciales (CSP-Credential Service Providers) y a quienes tengan interés en sus servicios, por ejemplo las partes que confian, asesores y auditores de esos servicios.
Los niveles son los siguientes:
- LoA 1 – Garantía Baja – Low – Little or no confidence in the asserted identity
- LoA 2 – Garantía Media – Medium – Some confidence in the asserted identity
- LoA 3 – Garantía Alta– High – High confidence in the asserted identity
- LoA 4 – Garantía Muy alta – Very high – Very high confidence in the asserted identity
El impacto de los errores de autenticación seá mínimo, moderado, sustancial o alto según el LoA requerido.
El modelo actual de Cl@ve todavía no contempla la estructura de 4 niveles de aseguramiento o de garantía, pero deberá evolucionar de forma que, en el futuro, pueda ser notificado como sistema de identificación y autenticación a la Comisión Europea, según lo definido en el Regla,emto UE 910/2014. Una vez que se de ese paso, el sistema de gestión de identidades español deberá ser asumido por el resto de países de la Unión Europea.
En la actualidad, el uso de las claves concertadas y los servicios de firma en la nube del servicio Cl@ve requiere que los ciudadanos se registren previamente en el sistema, aportando los datos de carácter personal necesarios. Este registro puede hacerse de manera presencial o telemática.
El registro presencial, inicialmente está limitado, de modo que actuan como Oficinas de Registro únicamente la red de oficinas de la Agencia Estatal de Administración Tributaria y de las Entidades Gestoras y Servicios Comunes de la Seguridad Social. En el futuro, se podrá ampliar la red de Oficinas de Registro con aquellos organismos públicos que dispongan de despliegue territorial y cumplan los requisitos técnicos necesarios establecidos por la Resolución de 28 de septiembre de la Dirección de Tecnologías de la Información y las Comunicaciones, por la que se establecen las condiciones para actuar como oficina de registro presencial del sistema Cl@ve .
En su rol de «broker de identidades» el sistema Cl@ve deberá evolucionar para incorporar en el futuro, conforme se vayan integrando en el sistema de reconocimiento transfronterizo de identidades electrónicas previsto en la citada regulación europea, mecanismos de identificación de otros países de la Unión Europea.