Archivo de la categoría: #eIdaS

OID utilizados por los PSEC españoles en sus certificados

Deja un comentario

Los Prestadores de Servicios Electrónicos de Confianza que operan en España definen sus políticas y otras informaciones de los certificados electrónicos según sus OID (Object identifier).

Los prestadores cualificados se identifican en la lista de confianza de prestadores de servicios de certificación (TSL) emitida por el Ministerio de Industria, Energía y Turismo.

Estos son los principales:

ACA: Autoridad de Certificación de la Abogacía

HARDWARE

Certificados corporativos reconocidos de colegiado  – Persona Física
(OID): 1.3.6.1.4.1.16533.10.2.1

Certificados corporativos reconocidos de Personal Administrativo  – Persona Física
(OID): 1.3.6.1.4.1.16533.10.3.1

Certificado Reconocido de Persona Jurídica  – Persona Jurídica
(OID): 1.3.6.1.4.1.16533.10.5.1

Certificados corporativos reconocidos de colegiado europeo  – Persona Física
(OID): 1.3.6.1.4.1.16533.10.9.1

Empleado profesional  – Persona Física
(OID): 1.3.6.1.4.1.16533.20.4.1

SOFTWARE

Certificado Trusted de persona jurídica en SW.  – Persona Jurídica
(OID): 1.3.6.1.4.1.16533.20.2.1

ACCV: Autoridad certificadora de la Generalitat Valenciana

HARDWARE

Certificado de persona jurídica  – Persona Jurídica
(OID): 1.3.6.1.4.1.8149.3.10.1.0

Certificado de persona jurídica  – Persona Jurídica
(OID): 1.3.6.1.4.1.8149.3.10.2.0

Certificado de persona física  – Persona Jurídica
(OID): 1.3.6.1.4.1.8149.3.13.3.0

Certificado de persona física  – Persona Jurídica
(OID): 1.3.6.1.4.1.8149.3.13.4.0

APE SELLO Alto.  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.16.2.0

APE SELLO Alto Hardware.  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.16.3.0

APE SELLO Medio.  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.17.2.0

APE SELLO Medio Hardware.  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.17.3.0

Certificado de persona física  – Persona Jurídica
(OID): 1.3.6.1.4.1.8149.3.20.2.0

PF Dispositivo Seguro.  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.6.4.0

Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.6.5.0

Certificado de persona física  – Persona Jurídica
(OID): 1.3.6.1.4.1.8149.3.6.6.0

SOFTWARE
CA2 PF Soporte Software.  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.7.4.0

CA-120 – Certificado de PF en soporte SW.  – Persona Física
(OID): 1.3.6.1.4.1.8149.3.7.5.0

ANCERT: Agencia notarial de certificación

HARDWARE

Certificados Notariales Personales  – Persona Física
(OID): 1.3.6.1.4.1.18920.1.1.1.1

ANCERTV2 PF Notarial Personal (Autenticación)  – Persona Física
(OID): 1.3.6.1.4.1.18920.1.1.1.2.2

Certificados Notariales Personales de representación personal.  – Persona Física
(OID): 1.3.6.1.4.1.18920.1.1.2.1

Certificados Notariales Corporativos  – Persona Jurídica
(OID): 1.3.6.1.4.1.18920.1.3.1.1

Certificados Notariales Corporativos v2.  – Persona Jurídica
(OID): 1.3.6.1.4.1.18920.1.3.1.2.1

ANCERTV2 PJ Notarial Corporativo (Autenticación)  – Persona Jurídica
(OID): 1.3.6.1.4.1.18920.1.3.1.2.2

Certificados Notariales Corporativos de representación.  – Persona Jurídica
(OID): 1.3.6.1.4.1.18920.1.3.2.1

Certificados FEREN  – Persona Física
(OID): 1.3.6.1.4.1.18920.4.1.1.1

PF FEREN Autenticación 2010  – Persona Física
(OID): 1.3.6.1.4.1.18920.4.1.1.2.2

Certificados para Empleados  – Persona Física
(OID): 1.3.6.1.4.1.18920.4.2.1.1

PF Empleado Autenticación 2010  – Persona Física
(OID): 1.3.6.1.4.1.18920.4.2.1.2.2

ANF AC: Anf Autoridad de Certificación

HARDWARE

Persona jurídica  – Persona Jurídica
(OID): 1.3.6.1.4.1.18332.2.4

ANF AC: ANF Autoridad de Certificación

HARDWARE

Persona Jurídica C2 (AUTENTICACIÓN) SHA-1 1024 bits  – Persona Jurídica
(OID): 1.3.6.1.4.1.18332.2.4.1.1.11

Persona Jurídica C2 (AUTENTICACIÓN) SHA-256 2048 bits  – Persona Jurídica
(OID): 1.3.6.1.4.1.18332.2.4.1.1.22

Persona Jurídica C2 (FIRMA) SHA-1 1024 bits  – Persona Jurídica
(OID): 1.3.6.1.4.1.18332.2.4.1.2.11

Persona Jurídica C2 (FIRMA) SHA-256 2048 bits  – Persona Jurídica
(OID): 1.3.6.1.4.1.18332.2.4.1.2.22

Persona Jurídica C2 (CIFRADO) SHA-1 1024 bits  – Persona Jurídica
(OID): 1.3.6.1.4.1.18332.2.4.1.3.11

Persona Jurídica C2 (CIFRADO) SHA-256 2048 bits  – Persona Jurídica
(OID): 1.3.6.1.4.1.18332.2.4.1.3.22

ANF AC: Anf Autoridad de Certificación

HARDWARE

Persona fisica  – Persona Física
(OID): 1.3.6.1.4.1.18332.3.4

ANF AC: ANF Autoridad de Certificación

HARDWARE

Persona Física C2(AUTENTICACIÓN) SHA-1 1024 bits  – Persona Física
(OID): 1.3.6.1.4.1.18332.3.4.1.1.11

Persona Física C2 (AUTENTICACIÓN) SHA-256 2048 bits  – Persona Física
(OID): 1.3.6.1.4.1.18332.3.4.1.1.22

Persona Física C2 (FIRMA) SHA-1 1024 bits  – Persona Física
(OID): 1.3.6.1.4.1.18332.3.4.1.2.11

Persona Física C2 (FIRMA) SHA-256 2048 bits  – Persona Física
(OID): 1.3.6.1.4.1.18332.3.4.1.2.22

Persona Física C2 (CIFRADO) SHA-1 1024 bits  – Persona Física
(OID): 1.3.6.1.4.1.18332.3.4.1.3.11

Persona Física C2 (CIFRADO) SHA-256 2048 bits  – Persona Física
(OID): 1.3.6.1.4.1.18332.3.4.1.3.22

CAMERFIRMA: Servicio de certificación digital de las cámaras de comercio, industria y navegación

HARDWARE

RACER – Certificado PF – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.6.2.1

RACER – Certificado PF – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.6.2.2

RACER – Certificado PFFE – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.7.2.1

RACER – Certificado PFFE – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.7.2.2

RACER – Certificado PFVA – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.8.2.1

RACER – Certificado PFVA – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.8.2.2

Certificado Cameral de PF – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.2.2.1

Certificado Cameral de Persona Física  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.2.2.2

Certificado CAM-PR – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.3.2.1

Certificado CAM-PR – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.3.2.2

Certificado cameral de PJ – HW – KPSC.  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.9.4.2.1

Certificado Cameral de Persona Jurídica  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.9.4.2.2

Certificado CAM-AP – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.5.2.1

Certificado CAM-AP – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.5.2.2

AAPP – Sello Electrónico para la Actuación Automatizada, nivel medio.  – Persona Física
(OID): 1.3.6.1.4.1.17326.1.3.3.2

Certificado CAM-PFF – HW – KPSC  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.7.2.1

Certificado CAM-PFF – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.7.2.2

RACER – Certificado PFVP – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.2.2.1

RACER – Certificado PFVP – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.2.2.2

RACER – Certificado PFVR – HW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.3.2.1

RACER – Certificado PFVR – HW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.3.2.2

RACER – Certificado PJ – HW – KPSC.  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.8.4.2.1

RACER – Certificado PJ – HW – KUSU.  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.8.4.2.2

SOFTWARE

RACER – Certificado PF – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.6.1.1

RACER – Certificado PF – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.6.1.2

Certificado Cameral de Persona Jurídica – KPSC.  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.8.4.1.1

RACER – Certificado PJ – SW – KUSU.  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.8.4.1.2

RACER – Certificado PFVR – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.3.1.1

RACER – Certificado PFVR – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.3.1.2

RACER – Certificado PFVP – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.2.1.1

RACER – Certificado PFVP – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.2.1.2

Certificado CAM-PFF – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.7.1.1

Certificado CAM-PFF – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.7.1.2

Certificado CAM-AP – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.5.1.1

Certificado CAM-AP – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.5.1.2

Certificado cameral de PJ – SW – KPSC.  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.9.4.1.1

Certificado cameral de PJ – SW – KUSU.  – Persona Jurídica
(OID): 1.3.6.1.4.1.17326.10.9.4.1.2

Certificado CAM-PR – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.3.1.1

Certificado CAM-PR – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.3.1.2

Certificado Cameral de PF – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.2.1.1

Certificado Cameral de PF – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.9.2.1.2

RACER – Certificado PFVA – SW – KPSC.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.8.1.1

RACER – Certificado PFVA – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.8.1.2

RACER – Certificado PFFE – SW – KPSC  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.7.1.1

RACER – Certificado PFFE – SW – KUSU.  – Persona Física
(OID): 1.3.6.1.4.1.17326.10.8.7.1.2

CATCert: Agència Catalana de Certificació

HARDWARE

EC-SAFP – CEISR-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.121.1

EC-AL – CEISR-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.121.2

EC-UR – CEISR-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.121.3

EC-PARLAMENT – CEISR-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.121.4

EC-URV – CEISR-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.121.5

EC-SAFP – CEIXSA-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.161.1

EC-AL – CEIXSA-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.161.2

EC-UR – CEIXSA-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.161.3

EC-PARLAMENT – CEIXSA-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.161.4

EC-URV – CEIXSA-1 Certificado de persona juridica  – Persona Jurídica
(OID): 1.3.6.1.4.1.15096.1.3.1.161.5

EC-AL – CPISR-1 Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81

EC-UR – CPISR-1 con Cargo Extranjero Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.1.1

EC-URV – CPISR-1 con Cargo Extranjero Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.1.2

EC-UR – CPISR-1 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.2.1

EC-PARLAMENT – CPISR-1 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.2.2

EC-URV – CPISR-1 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.2.3

EC-SAFP – CPISR-1 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.2.4

EC-AL – CPISR-1 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.2.5

EC-SAFP – CPISR-1 con Cargo Uso Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.3.1

EC-AL – CPISR-1 con Cargo Uso Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.3.2

EC-UR – CPISR-1 con Cargo Uso Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.3.3

EC-PARLAMENT – CPISR-1 con Cargo Uso Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.3.4

EC-URV – CPISR-1 con Cargo Uso Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.81.3.5

EC-UR – CPISR-2 de Estudiante Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.2.1

EC-URV – CPISR-2 de Estudiante Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.2.2

EC-UR – CPISR-2 de Estudiante Extranjero Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.2.3

EC-URV – CPISR-2 de Estudiante Extranjero Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.2.4

EC-UR – CPISR-2 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.3.1

EC-PARLAMENT – CPISR-2 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.3.2

EC-URV – CPISR-2 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.3.3

EC-SAFP – CPISR-2 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.3.4

EC-AL – CPISR-2 con Cargo Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.82.3.5

AL PF CDA, SAFP PF CDA, PARL PF CDA, URV PF CDA y UR PF CDA Sello Elec Nivel Medio Clase 1.  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.91.1

AL PF CDA, SAFP PF CDA, PARL PF CDA, URV PF CDA y UR PF CDA Sello Elec Nivel Alto Clase 1.  – Persona Física
(OID): 1.3.6.1.4.1.15096.1.3.1.91.2

DIRECCIÓN GENERAL DE LA POLICÍA

HARDWARE

DNIe  – Persona Física
(OID): 2.16.724.1.2.2.2.4

FIRMAPROFESIONAL, Firmaprofesional S.A.

HARDWARE

Certificados Corporativos Reconocidos de Colegiado con DSCF  – Persona Física
(OID): 1.3.6.1.4.1.13177.10.1.1.1

Certificados Corporativos Reconocidos de Persona Vinculada con DSCF  – Persona Física
(OID): 1.3.6.1.4.1.13177.10.1.2.1

APE SELLO Alto  – Persona Física
(OID): 1.3.6.1.4.1.13177.10.1.21.1

APE SELLO Medio  – Persona Física
(OID): 1.3.6.1.4.1.13177.10.1.21.2

Certificado Corporativos Reconocidos de Entidad o Persona Jurídica con DSCF  – Persona Jurídica
(OID): 1.3.6.1.4.1.13177.10.1.5.1

SOFTWARE

Certificado de persona jurídica o entidad en SW.  – Persona Jurídica
(OID): 1.3.6.1.4.1.13177.10.1.5.2

FNMT:Fábrica Nacional de Moneda y Timbre

HARDWARE

Certificado de sello de órgano de AP.  – Persona Física
(OID): 1.3.6.1.4.1.5734.3.3.3.2

SOFTWARE

PF (Persona Física)  – Persona Física
(OID): 1.3.6.1.4.1.5734.3.5

PJ Certificado para el ámbito tributario  – Persona Jurídica
(OID): 1.3.6.1.4.1.5734.3.7

PF (Persona Física)-SHA256  – Persona Física
(OID): 1.3.6.1.4.1.5734.3.10.1

APE EMPLEADO PÚBLICO Medio  – Persona Física
(OID): 1.3.6.1.4.1.5734.3.14

Gerencia de Informática de la Seguridad Social

HARDWARE

APE SELLO Medio  – Persona Física
(OID): 2.16.724.1.4.2.1.3

IZENPE: Empresa de certificación impulsada por el Gobierno Vasco y las Diputaciones Forales

HARDWARE

Personal Gobierno Vasco  – Persona Física
(OID): 1.3.6.1.4.1.14777.7.1

Certificado de ciudadano  – Persona Física
(OID): 1.3.6.1.4.1.14777.2.1

Certificado de perteneciente a entidad  – Persona Física
(OID): 1.3.6.1.4.1.14777.2.2

Certificado de Asegurado del Sistema Sanitario de Euskadi  – Persona Física
(OID): 1.3.6.1.4.1.14777.2.4

Certificado de Asegurado Representado del Sistema Sanitario de Euskadi  – Persona Física
(OID): 1.3.6.1.4.1.14777.2.5

Certificado de ciudadano  – Persona Física
(OID): 1.3.6.1.4.1.14777.2.6

Certificado de Entidad (tarjeta criptográfica)  – Persona Jurídica
(OID): 1.3.6.1.4.1.14777.2.7

Certificado de entidad sin personalidad jurídica  – Persona Jurídica
(OID): 1.3.6.1.4.1.14777.2.9

Personal de entidades públicas  – Persona Física
(OID): 1.3.6.1.4.1.14777.4.1

Corporativo reconocido  – Persona Física
(OID): 1.3.6.1.4.1.14777.4.2

SOFTWARE

Certificado de órgano  – Persona Jurídica
(OID): 1.3.6.1.4.1.14777.4.3

Certificado de sello nivel medio  – Persona Física
(OID): 1.3.6.1.4.1.14777.4.4

Certificado de sello nivel alto  – Persona Física
(OID): 1.3.6.1.4.1.14777.4.5

Certificado de entidad en Software  – Persona Jurídica
(OID): 1.3.6.1.4.1.14777.2.8

Ministerio de defensa

HARDWARE

APE SELLO Medio  – Persona Física
(OID): 2.16.724.1.1.1.1.2.14

APE SELLO Alto  – Persona Física
(OID): 2.16.724.1.1.1.1.3.14

MTIN: Ministerio de Trabajo e Inmigración

HARDWARE

APE SELLO Medio  – Persona Física
(OID): 1.3.6.1.4.1.27781.2.4.3.2.2

APE SELLO Medio  – Persona Física
(OID): 1.3.6.1.4.1.27781.2.4.3.2.3

Servicio de Certificación del Colegio de Registradores

HARDWARE

Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.17276.0.1.1.1

Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.17276.0.2.1.1

Certificado de persona física  – Persona Jurídica
(OID): 1.3.6.1.4.1.17276.0.2.2.1

Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.17276.0.2.3.1

Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.17276.0.2.4.1

Certificado de persona física  – Persona Física
(OID): 1.3.6.1.4.1.17276.0.2.5.1

SESCAM

HARDWARE

SESCAM 2012 APE SELLO Alto.  – Persona Física
(OID): 2.16.724.4.8.10.60.10.3.2.1

SESCAM 2012 APE SELLO Medio.  – Persona Física
(OID): 2.16.724.4.8.10.60.10.3.2.2

SIGNE: Autoridad de Certificación

HARDWARE

APE SELLO Alto Signe.  – Persona Física
(OID): 1.3.6.1.4.1.36035.1.10.1

Nivel Alto – Hardware criptográfico.  – Persona Física
(OID): 1.3.6.1.4.1.36035.1.10.2

PJ Corporativo Nivel Alto.  – Persona Jurídica
(OID): 1.3.6.1.4.1.36035.1.3.1

SOFTWARE

Certificados Corporativos de Persona Jurídica en Software.  – Persona Jurídica
(OID): 1.3.6.1.4.1.36035.1.3.2

Voice signing over the phone as an #EIDAS advanced electronic signature

2 respuestas

Telesales is the fastest way to perform contracts over the phone. Asking the customer to Fax, emai or send by postal mail the contract is the simplest way to lose sales.

EADTrust defines the framework for contract platforms to deal with voice signature, taking advantage of the definitions included in #eidas (Regulation UE 910/2014), so voice signature complies with article 26 and can be considered «advanced electronic signature».

This voice based advanced electronic signature lets companies get the deals signed right on the phone, this eliminates lost sales, and time spent chasing customers to send back signed contracts.

Certified platforms record the customer’s verbal authorization and embeds the audio right in the document, providing a compliant voice based electronic signature.

Voice Signing exceeds 50% improvement in deals closing rates for a fraction of the cost and time.

EADTrust performs voice signature platform providers audits to verify that certain principles are met:

  1. Proof of the consent of the signer regarding a document by his own voice and linking of the evidence with the document
  2. Resistance to pre-recorded voice simulations and voice synthesizers by possible supplanters.
  3. Probatory symmetry. Availability of the document for the signer immediately and of the means of proof at a cost similar to that which would have the proof on paper  of a handwritten signature.
  4. Durable medium. Persistence of the document so that the parties can prove the identity of the signatories and the content of the document at any future time.
  5. Possibility of verifying the vocal signature and the content of the document by the signatory in a simple way, with a degraded version of what was pronounced by the signatory.
  6. Impossibility to extract the voice recorded in high quality by the entity that applies the technology and to embed the vocal signature in other documents.
  7. Possibility of comparing the document attached voice recording (high quality voice recording  attributable to the signer)  with other Incontrovertible samples in a forensic context and in dispute resolution environments.
  8. Possibility of generating hybrid documents, in paper and electronic medium.
  9. Availability of information for signatories or their legal representatives regarding the way to provide the evidence and analyze it in a dispute resolution context.
  10. Privacy related information protected in accordance with the Data Protection Act. Existence of data breach detection and notification procedures to the data protection authority when personal data is affected.

As of this writing, there is one accredited voice signing platform:

Contact EADTrust if you need an assessment of your #EIDAS compliant  Voice based electronic signature platform, calling at +34 917160555

Aceleradores criptográficos en mainframe IBM

Deja un comentario

A lo largo de los años, IBM ha ido añadiendo nuevos equipos criptográficos (HSM) a la oferta disponible para sus entornos mainframe.

Ya he presentado algunos en este blog en artículos anteriores:

En este artículo simplemente resume las variantes disponibles en este momento.

Existe información sobre cómo agregar y eliminar coprocesadores criptográficos en el documento  z / OS Cryptographic Services ICSF Administrator’s Guide.

Dispositivo  Crypto Express5 (CEX5C, CEX5P o CEX5A)
Se trata de un coprocesador o acelerador criptográfico asíncrono, cuyo motor criptográfico  puede configurarse como un coprocesador (CEX5C para CCA y CEX5P para PKCS #11) o como acelerador (CEX5A). Está disponible en los sistemas IBM z13.

Dispositivo Crypto Express4 (CEX4C, CEX4P o CEX4A)
El Crypto Express4 es un coprocesador o acelerador criptográfico asíncrono que se puede configurar como un coprocesador CCA (CEX4C), un coprocesador Enterprise PKCS #11 (CEX4P) o como un acelerador (CEX4A). Está disponible en los sistemas IBM zEnterprise EC12 e IBM zEnterprise BC12.

Dispositivo Crypto Express3 (CEX3C o CEX3A)
La placa criptográfica Crypto Express3 es un coprocesador o acelerador criptográfico asíncrono que contiene dos motores criptográficos que se pueden configurar independientemente como  coprocesador (CEX3C) o como acelerador (CEX3A). Está disponible en los sistemas  IBM System z10 Enterprise Class, IBM System z10 Business Class, IBM zEnterprise 196, IBM zEnterprise 114, IBM zEnterprise EC12 y IBM zEnterprise BC12.

Dispositivo Crypto Express2 (CEX2C o CEX2A)
La placa Crypto Express2 es un coprocesador o acelerador criptográfico asíncrono con dos motores criptográficos que se pueden configurar de forma independiente como coprocesador (CEX2C) o como acelerador (CEX2A). Está disponible en IBM System z9 Enterprise Class, IBM System z9 Business Class, IBM System z10 Enterprise Class e IBM System z10 Business Class.

Coprocesador criptográfico PCI X (PCIXCC)
El coprocesador criptográfico PCI X es un coprocesador criptográfico asíncrono que puede sustituir al coprocesador criptográfico PCI. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

CP Assist para funciones criptográficas (CPACF)
CPACF es un conjunto de instrucciones criptográficas disponibles en todos los CP. El uso de las instrucciones de CPACF mejora el rendimiento de las funciones criptográficas. Incorpora siempre el algoritmo SHA-1 en algunos sistemas añade los algoritmos SHA-224 y SHA-256 (en los sistemas z9 EC / z9 BC y posteriores). Además, los algoritmos SHA-384 y SHA-512 están disponibles en z10 EC / z10 BC y sistemas posteriores.

CP Assist for Cryptographic Functions (CPACF), con código de producto 3863 para habilitar la funcionalidad  DES / TDES, proporciona instrucciones de cifrado DES y Triple DES de clave en claros. En los sistemas z9 EC / z9 BC y posteriores, esta característica incluye el cifrado AES con clave en claro para claves de 128 bits. En los sistemas z10 EC / z10 BC y posteriores, esta característica también incluye el cifrado AES con clave en claro para claves de 192 y 256 bits.

Acelerador criptográfico PCI (PCICA)
El Acelerador criptográfico PCI brinda soporte para claves en claro en la invocación de los servicios  CSNDDSV, CSNDPKD y CSNDPKE para un mejor rendimiento que cuando se ejecuta en un coprocesador criptográfico. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

Las PCICA permiten el máximo rendimiento en el cifrado de SSL usado en entornos web.

Trust Services Forum 2017

Deja un comentario

ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks

 

CA Compliance Info-Day (CA day 2017) eIDAS and Web-PKI

Deja un comentario

On monday June, the 19th of 2017 D-TRUST and TÜVIT organize the 8th CA day in Berlin, Bundesdruckerei GmbH, Historic Conference Center.

Kim Nguyen, Andrea Servida, Arno Fiedler, Clemens Wanko, Sylvi Lacroix, Slawomir Gorniak, Andrea Vale and Dean Coclin will present  recent advances in eIDAS deployment:

  • eIDAS Regulation: State of play
  • Implementing eIDAS with CEN and ETSI Norms
  • The European Audit Framework
  • eIDAS Services in Realitas
  • Update on ENISA activities in the field of eIDAS
  • Adobe and the Cloud Signature Alliance
  • News from the CA/Browser Forum
  • Browser/Rootstore Program requirements
  • Panel discussion: eIDAS: Who are the “Trust Service Consumer” ?

Audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza

Deja un comentario

confianza-ue-colorEl Ministerio de Energía, Turismo y Agenda Digital ha publicado en su página web una nueva información relativa a la evolución normativa de aplicación a los servicios de confianza digital.

En el mes de diciembre de 2016 el MINETAD solicitó sugerencias respecto a los aspectos que debería cubrir la nueva Ley que sustituirá a la de Firma Electrónica y en esta fase continúa la tramitación de la nueva Ley sobre determinados aspectos de los servicios electrónicos de confianza.

La actual Ley 59/2003, de firma electrónica, entra en conflicto en varios aspectos con el Reglamento UE 910/2014  (EIDAS) por lo que se hace preciso adaptar el ordenamiento jurídico español a lo dispuesto en el citado Reglamento

El Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE es de directa aplicación en todos los países miembro de la unión europea y las legislaciones nacionales solo debe regular aspectos que no estén incluidos en el Reglamento.

En este sentido, y de acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, el MINETAD ha invitado a los diferentes  «stakeholders» para que participen en la audiencia pública que puede encontrar en el siguiente enlace:

http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/Cerradas/servicios-electronicos-confianza.aspx

(era http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/servicios-electronicos-confianza.aspx)

El conjunto de las aportaciones permitirá contribuir a garantizar el acierto de la nueva norma, por lo que se anima a todo los interesados  participar en esta audiencia pública remitiendo al buzón lfe@minetad.es cuantas observaciones estimen oportunas al texto del anteproyecto de ley.

De acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, se sustancia la audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza. Esta ley complementa en el Ordenamiento jurídico español al Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Plazo de remisión

Las observaciones podrán remitirse hasta el 30 de abril de 2017

Forma de presentar las observaciones

Las observaciones deberán cursarse a la dirección de correo electrónico: lfe@minetad.es

Anexos

Final Draft Regulatory Technical Standards y #eIdAS

1 respuesta

El artículo 25 del proyecto de norma técnica reguladora publicado por la EBA en cumplimiento del mandato de la Comisión Europea de desarrollo de la PSD2 (Segunda Directiva de Pagos) se refiere a los requisitos de identificación y el 29 al mecanismo específico de los certificados.

En este último artículo queda patente la importancia de los servicios de confianza definidos por el EIDAS (Reglamento UE 910/2014).

  1. Para el propósito de identificación, a que se refiere el artículo 21, apartado 1, letra a), los proveedores de servicios de pago  confiarán en certificados cualificados para generación de sellos electrónicos tal como se definen en el apartado 30 del artículo 3 del Reglamento (UE) n ° 910/2014 4 o en los certificados de autenticación de sitio webpara según se definen en el en el apartado 39 del artículo 3 de dicho Reglamento.
  2. A los efectos del presente Reglamento, el número de registro contemplado en la letra C del anexo III del Reglamento (UE) no 910/2014 se referirá al número de autorización correspondiente a los proveedores de servicios de pago que emiten instrumentos de pago basados en tarjetas (payment service provider issuing card-based payment instruments),  a los proveedores de servicios de información de cuenta (account information service provider) y a los proveedores de servicios de iniciación de pagos (payment initiation service provider), así como los prestadores de servicios
    de pagos de gestión de cuenta (account servicing payment service provider) que proporcionen dichos servicios, según consten  en el registro público del Estado miembro de origen del prestador, de conformidad con el artículo 14 de la Directiva (UE) 2015/2366 o según resulte de la notificación de cada autorización concedida al amparo del artículo 8 de la Directiva 2013/36 / EU de conformidad con el artículo 20 de dicha Directiva.
  3. A efectos del presente Reglamento, los certificados cualificados para generación de sellos electrónico  o para la autenticación del sitio web a que se refiere el párrafo 1 del presente artículo, deberán incluir varias menciones en lengua inglesa para reflejar los siguientes atributos específicos adicionales:
    (a) el papel del prestador de servicios de pago, que podrá ser uno o más  uno o más de los siguientes:  «account servicing payment service provider»; «payment initiation service provider»;  «account information service provider»;  «payment service provider issuing card-based payment instruments», respectivamente «proveedor de servicios de pago de gestión de cuenta», «proveedor de servicios de iniciación de pago», «proveedor de servicio de información de cuenta» y «proveedor de servicios de pago que emite instrumentos de pago basados en tarjetas».
    (b) la denominación de las autoridades competentes en las que el prestador de servicios está registrado.
    4. Los atributos mencionados en el apartado 3 no afectarán a la interoperabilidad y
    reconocimiento de certificados calificados para sellos electrónicos o autenticación de sitios web.

En el marco de #eIdAS es de aplicación el estándar EN 319 412 en sus partes 1, 3 y 4 (EN 319 412-1, EN 319 412-3 y EN 319 412-4) por lo que la mención del registro de entidades financieras correspondería a las siglas BA (Banking Authority).

eadt-logoPor ejemplo, el «serial number» del certificado cualificado del BBVA a los efectos de la autenticación como «Prestador de servicios de gestión de cuentas» en el marco de la segunda directiva de pagos (PSD2) debería identificarse con el valor  BA:ES0182

EADTrust ya está en condiciones de emitir certficados cualificados para prestadores de servicios amparados por la PSD2 y alineados con la versión publicada a finales de febrero de 2017 de los «Regulatory Technical Standards» de la European Banking Association.

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards

1 respuesta

La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) «Regulatory Technical Standards«, en particular sobre los aspectos de «strong customer authentication» y «secure communication»

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la «autenticación fuerte del cliente» que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o «realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos».

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una «interfaz dedicada», que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que «el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una «interfaz dedicada» implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado «simulación de usuario» o, en inglés»screen scraping») una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

 

 

«Simetría probatoria» y «Soporte duradero» en las firmas electrónicas

1 respuesta

Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de «tercero de confianza» escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de «tercero de confianza» y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de «tercero de confianza» no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de «tercero de confianza» se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa «muletilla» para que se les reconozca su labor, De esta forma la entidad que dice ser un «tercero de confianza» pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de «Simetría probatoria» y «Soporte duradero» son preferibles.

La «simetría probatoria» implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El «Soporte duradero» debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.

¿Cuantos tipos de firma avanzada existen?

1 respuesta

Según la legislación aplicable en España, y obviando la Ley 59/2003 que en lo esencial se ha visto sustituida por el Reglamento (UE) 910/2014 (EIDAS) se definen tres tipos de firma electrónica:

  • «firma electrónica (simple)», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
  • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única.
    • permitir la identificación del firmante.
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
  • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica. Es equivalente a la firma manuscrita.

La firma electrónica avanzada puede ser:

  • No basada en certificados. En cuyo caso, la vinculación del firmante con lo firmado, la identificación del firmante y su creación con un alto nivel de confianza, bajo su control exclusivo, deberá gestionarse con técnicas apropiadas, incluyendo las criptográficas. Entre estas se encuentran las firmas biométricas.
  • Basada en certificados. En cuyo caso se dan dos variantes:
    • Certificados no cualificados.
    • Certificados cualificados. En cuyo caso se dan dos variantes:
      • No basadas en dispositivos cualificados de creación de firma
      • Basadas en dispositivos cualificados de creación de firma. Esta es la firma cualificada.

Muchas normas dan valor jurídico a diferentes tipos de firmas avanzadas (no solo a las firmas cualificadas). Por ejemplo, la Ley 18/2011 da valor de forma expresa a la firma avanzada basada en certificado cualificado, y no basadas en un dispositivo cualificado de creación de firma:

Artículo 14. Formas de identificación y autenticación.

1. La Administración de Justicia admitirá, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en (la ley 18/2011 hacer referencia a la Ley 59/2003, de 19 de diciembre, de firma electrónica, pero en la actualidad sta refeencia debe entenderse en relación con el Reglamento UE 910/2014) y resulten adecuados para garantizar la identificación de los firmantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Sin perjuicio de lo dispuesto en los artículos 4 y 6 de la presente Ley y en todo caso, con sujeción estricta a lo dispuesto por las leyes procesales, los ciudadanos y profesionales del ámbito de la Justicia podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con la Administración de Justicia:

(…)

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

No olvidemos que el Artículo 25 del Reglamento UE 910/2014 define los efectos jurídicos de las firmas electrónicas

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Aunque la Ley 59/2003 ya no se considera de aplicación en sentido estricto, cabe mencionar una variante de firma electrónica definida en ella (en su artículo 3 apartado 10), que podria denominar «firma acordada»:

Cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.