Archivo de la categoría: #eIdaS

Tercer lote de actos de ejecución relativos a los servicios electrónicos de confianza y a la Cartera de Identidad Digital Europea

1 respuesta

La Unión Europea publicó el 15 de abril de 2025 los borradores de doce nuevos actos de ejecución centrados en los servicios electrónicos de confianza y la cartera de identidad digital europea, en lo que será el tercer bloque de actos de ejecución tras los dos anteriores, cumpliendo lo previsto en el Reglamento (UE) 1183/2024.

La publicación de estos borradores abre también la posibilidad de enviar comentarios hasta el 13 de mayo de 2025 a través de la plataforma  «Have your say» .

El conjunto de actos de ejecución configura el Marco Europeo de Identidad Digital y forma parte del juego de requisitos y especificaciones que determinan la evolución del documento de ARF («Architecture and Reference Framework», Arquitectura y Marco de Referencia) de la Cartera de Identidad DIgital. Recientemente publiqué la traducción al español del documento ARF versión 1.8.

Logo EUDI Wallet

¿Cuáles son los nuevos actos de ejecución?

El lote anterior se publicó el viernes 29 de noviembre de 2024 con posibilidad de enviar comentarios en el portal ‘Have your say’ (Díganos lo que piensa), hasta el 27 de diciembre.

Los actos de ejecución se adoptaron el 9 de abril de 2025, per todavía no están publicados en el Diario Oficial.

El primer lote de 5 actos de ejecución se publicó el 4 de diciembre de 2024, en el Diario Oficial de la Unión Europea, entrando en vigor a los 20 días, el 24 de diciembre. Desde esa fecha se calculan los 2 años para que los estados pongan a disposición de los ciudadanos la Cartera de Identidad Digital correspondiente a cada estado y el plazo de 3 años para que las entidades privadas obligadas a la aceptación de la identidad basada en una Cartera Digital deban empezar a hacerlo.

Certificados para DEA-AAPP o Pub-EAA

Deja un comentario

En la Arquitectura y Marco de Referencia de la Cartera de Identidad Digital Europea se recoge la opción de que las entidades de las Administraciones Públicas puedan generar Declaraciones de Atributos de forma similar a los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA).

Logo EUDI Wallet

En el modelo de confianza, tanto los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA) como las entidades públicas emisoras de Declaraciones Electrónicas de Atributos (DEA) deben contar con un certificado electrónico con el que se firman las declaraciones electrónicas de atributos.

EADTrust está generando ya certificados de prueba alineados con el modelo de confianza y puede prestar, si se requiere, tanto los servicios DECA (asociados a fuentes auténticas) como declaraciones DEA-AAPP (en inglés Pub-EAA).

Hay que tener en cuenta que la norma ETSI TS 119 412-5 se va a modificar para incorporar un nuevo OID esi4-qcStatement-10 solo para Organismos del Sector PúblicoOSP (en inglés PSB – Public Sector Bodies), que incluirá esta información:

  • countryOfLegislation deberá contener el código de país alfa-2 del marco legislativo del organismo del sector público, considerando que se utilizará «EU» para la legislación de la UE.
  • authSourceIdentification deberá contener una identificación única de la fuente auténtica para la que el OSP emite declaraciones de atributos.
  • nameOfLegislation deberá contener el nombre de la legislación que define al OSP como responsable de la fuente auténtica. Esta entrada deberá contener al menos la traducción al inglés del nombre de la legislación, pero también puede contener traducciones a otros idiomas.
  • La sintaxis queda así:

esi4-qcStatement-10 QC-STATEMENT ::= { SYNTAX QcPSB IDENTIFIED BY id-etsi-qcs-QcPSB }

id-etsi-qcs-QcPSB OBJECT IDENTIFIER ::= { id-etsi-qcs 10 }

QcPSB ::= SEQUENCE {
countryOfLegislation PrintableString (SIZE (2))
(CONSTRAINED BY { — ISO 3166 alpha-2 codes only — }),
— this field shall contain the alpha-2 country code of the legislation
— framework of public sector body in the case of EU legislation use
— the «EU» country-code.

authSourceIdentification UTF8String,
— this field is for the unique identification of authentic source

nameOfLegislation LegalDescriptions
}

LegalDescriptions ::= SEQUENCE SIZE (1..MAX) OF LegalDescription

LegalDescription ::= SEQUENCE {
language PrintableString (SIZE(2)), –ISO 639-1 language code
— the language (code) of the legislation
— description

legislation UTF8String
— the legislation name in the language set, at minimum the english
— (en) translation of the legistlation’s name shall be included
}

Contacte con EADTrust para adaptar su entidad u organismo a los retos del despliegue de la Cartera de Identidad Digital Europea.

Más información sobre la Cartera de Identidad .Digital Europea.

Versión 1.8 del ARF de la Cartera IDUE en español

3 respuestas

La EUDI Wallet (European Union Digital Identity Wallet), conocida en español como la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE) se está desarrollando desde el punto de vista de la concreción de especificaciones a través del ARF es decir, el Marco de Referencia y Arquitectura (Architecture and Reference Framework).

El ARF de la Cartera IDUE es un documento técnico clave que establece las bases para el diseño, desarrollo y funcionamiento de esta identidad digital en toda la Unión Europea. Es un marco de referencia que los estados miembros y desarrolladores usan para garantizar que las carteras digitales sean seguras, interoperables y cumplan con la regulación eIDAS 2.0.

Traduje varias versiones del documento ARF, pero en los últimos meses la actualización de versiones iba más rápido que mi capacidad de traducción

Recientemente se ha publicado la versión 1.8 y la he intentado traducir a toda prisa, por lo que aquí traigo la versión en español de este documento «Marco de Referencia y Arquitectura»:

Architecture-and-reference-framework-V-1-8-main españolDescarga

Aquí están sus aspectos principales:

  • Estandarización: Define los protocolos técnicos, como el formato de los identificadores digitales (basados en estándares como OpenID o ISO/IEC 18013-5 para credenciales móviles), para que las carteras funcionen igual en todos los países de la UE.
  • Interoperabilidad: Asegura que una Cartera IDUE emitida en España, por ejemplo, pueda usarse sin problemas en Francia o Alemania para servicios públicos y privados (como abrir una cuenta bancaria o identificarse en línea).
  • Seguridad: Establece requisitos para proteger los datos personales, como el uso de elementos seguros en dispositivos (chips físicos o software encriptado) y autenticación multifactor.
  • Funcionalidad: Detalla cómo las carteras almacenarán y presentarán credenciales digitales, como el DNI electrónico, licencias de conducir o certificados académicos, de forma que sean verificables al instante por terceros autorizados.
  • Desarrollo práctico: Proporciona una «caja de herramientas» (toolbox) técnica para que los países implementen sus propias versiones de la cartera, manteniendo un estándar común.

El ARF fue publicado por la Comisión Europea como parte del proceso para preparar la implementación de la EUDI Wallet, que se espera esté plenamente operativa para las navidades de 2026.

G-digital y EADTrust

Deja un comentario

g-digital, es la división de negocios digitales de Garrigues (la mayor Firma de abogados de la Unión Europea) dedicada a fomentar la innovación y el desarrollo tecnológicos para ayudar a los clientes de la Firma en su transformación digital. Asume la misión de desarrollar soluciones tecnológicas que integren el conocimiento del derecho de los negocios del despacho legal en los procesos de sus clientes, no solo mejorando la eficiencia y la seguridad jurídica, sino también habilitando nuevas oportunidades de negocio en un entorno cada vez más digital.

Los profesionales de Garrigues Digital, que son los expertos del despacho en TechLaw y economía digital, trabajan estrechamente con los tecnólogos de g-digital en el diseño de sus soluciones, asegurando que tecnología y legalidad se integran en cada propuesta e identificando las necesidades y oportunidades del mercado. Esta colaboración es el factor clave y distintivo que asegura que sus productos y servicio sean innovadores y de confianza.

Las soluciones de g-digital están concebidas como herramientas esenciales para garantizar la seguridad jurídica, la eficiencia y el cumplimiento normativo en los procesos desplegados por o clientes del a Firma.

g-digital, trabaja en estrecha colaboración con EADTrust, prestador cualificado de servicios de confianza digital, participado por Garrigues.

Esta colaboración representa una alianza estratégica que redefine la forma en que las empresas gestionan sus transacciones digitales. Esta sinergia combina el liderazgo legal de Garrigues con la experiencia técnica de EADTrust para ofrecer soluciones integrales que garantizan seguridad, eficiencia y cumplimiento normativo.

¿Qué ofrecen juntos g-digital y EADTrust?

La propuesta comercial conjunta se basa en tres pilares fundamentales:

  1. Servicios de confianza digital regulados
    • EADTrust aporta su experiencia en servicios cualificados, como la expedición de certificados cualificados de personas físicas para la realización de firmas electrónicas cualificadas, la expedición de certificados cualificados de personas jurídicas para la realización de sellos electrónicos cualificados, la emisión de sellos de tiempo cualificados, la provisión de servicios de custodia digital y notificaciones certificadas, esenciales para garantizar la autenticidad y seguridad de las transacciones digitales.
    • g-digital integra estos servicios en procesos legales, optimizando la gestión de contratos y asegurando que las empresas cumplan con normativas como eIDAS2.
  2. Innovación tecnológica aplicada al ámbito legal
    • Ambas entidades han desarrollado soluciones como GoCertius, que permite certificar fotografías y videos captados con el móvil asociándolos al momento en que se tomaron, y que se ha ampliado para dejar constancia de lo tratado en chats «securizados» en plataformas como Telegram con alta eficacia probatoria, y que permitiría un sistema de contratación con muy baja fricción en la experiencia de usuario.
    • g-digital trabaja en proyectos basados en blockchain, como plataformas de activos financieros tokenizados bajo el régimen piloto de la UE (Reglamento UE 2022/858) y la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión y su constitución como ERIR (Entidad Responsable de la Inscripción y del Registro. También impulsa soluciones de «EAD Enterprise Suite» como «eArchiving» y «Signature Manager» una herramienta colaborativa que permite la firma electrónica de varios intervinientes en un acuerdo e incluso invitar asesores legales al proceso de firma.
  3. Cumplimiento normativo y adaptación al mercado europeo
    • La colaboración está alineada con regulaciones clave como eIDAS2, NIS2, DORA y MiCA, asegurando que las empresas puedan operar dentro del marco legal europeo mientras aprovechan herramientas avanzadas para la gestión digital.

Beneficios para las empresas

La alianza entre g-digital y EADTrust ofrece ventajas tangibles para empresas de todos los sectores:

  • Seguridad jurídica: Las soluciones conjuntas garantizan que las transacciones digitales cumplan con los estándares legales más exigentes, reduciendo riesgos regulatorios.
  • Eficiencia operativa: La integración de servicios digitales permite automatizar procesos clave, como la firma electrónica o la custodia documental, optimizando tiempos y costes. El uso de sello de tiempo cualificado en pasos clave de procesos de negocio digitalizados los transforma en pruebas con presunción «Iuris Tantum»
  • Innovación adaptada: Con herramientas como blockchain y carteras digitales europeas (EUDI Wallets), las empresas pueden liderar la transformación digital sin comprometer la seguridad ni el cumplimiento normativo.

Casos destacados

Entre los proyectos desarrollados conjuntamente se encuentran:

  • GoCertius: Una solución innovadora para certificar fotos, videos y documentos captados por la cámara controlada por la App y comunicaciones digitales por Telegram , ideal para sectores donde la evidencia legal es crítica.
  • EAD Factory: Servicios diseñados para transformar procesos empresariales tradicionales en entornos completamente digitales por diseño, beneficiando especialmente a industrias como banca y seguros. Puede implantarse en sus propios CPDs o en plataformas en la nube TIC
  • EAD Enterprise Suite: eArchiving: Solución de custodia digital de archivos, equivalente en cierto sentido al depósito notarial, con funcionalidades de escrow.
  • EAD Enterprise Suite: Signature Manager: Solución de firma electrónica de uso muy sencillo que reduce la fricción para los firmantes y sus asesores, y que resuelve los retos de la firma en contextos multinacionales donde aplican diferentes leyes y jurisdicciones.

Conclusión

La colaboración entre g-digital y EADTrust no solo fortalece la confianza digital en Europa, sino que también posiciona a ambas entidades como líderes en un mercado donde la seguridad jurídica y tecnológica son esenciales. Su propuesta conjunta es una invitación a las empresas a abrazar el futuro digital con herramientas que garantizan autenticidad, integridad y cumplimiento normativo. En un entorno donde la innovación es clave, esta alianza representa el puente perfecto entre tecnología avanzada y seguridad legal.

Prestadores de servicios de confianza no cualificados

1 respuesta

En relación con los Servicios de Confianza, en España rige la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, junto con el Reglamento 910/2014 (actualizado con el Reglamento 2024/1183).

En su preámbulo se menciona que

  • Todos los prestadores de servicios de confianza, cualificados y no cualificados, están sometidos a la obligación de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado.
  • Los prestadores de servicios no cualificados pueden prestar servicios sin verificación previa de cumplimiento de requisitos, sin perjuicio de su sujeción a las potestades de seguimiento y control posterior de la Administración. No obstante, deberán comunicar al órgano supervisor la prestación del servicio en el plazo de tres meses desde que inicien su actividad, a los meros efectos de conocer su existencia y posibilitar su supervisión

Y en su articulado:

Artículo 12. Inicio de la prestación de servicios electrónicos de confianza no cualificados.

Los prestadores de servicios de confianza no cualificados no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien, que publicará en su página web el listado de prestadores de servicios de confianza no cualificados en una lista diferente a la de los prestadores de servicios de confianza cualificados, con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados.

En el mismo plazo deberán comunicar la modificación de los datos inicialmente transmitidos y el cese de su actividad.

Identificación de Prestadores

En la actualidad el Ministerio ya publica la información básica de los Prestadores de Servicios Electrónicos de Confianza No Cualificados como su Nombre/Razón Social, su CIF, el Nombre Comercial y el Dominio, si bien todavía no incorpora la descripción detallada y clara de las características propias y diferenciales.

De la citada página se extrae la siguiente lista de prestadores, respecto a lo que hay que considerar que algunos de ellos son también Prestadores Cualificados de Servicios de Confianza y no queda claro qué servicios no cualificados de los que prestan hace recomendable su inclusión en este listado.

  • 360nrs
  • 3G Mobile Group (Foldersign)
  • Addalia
  • Agencia de Tecnología y Certificación Electrónica – ACCV
  • ANF AC
  • Aplicaciones Inmovilla SLU
  • Aralink Wallet Id
  • Aviva Voice
  • Banco de España
  • Bianca Schulte Gutiérrez
  • Bigle Legal
  • Bounsel
  • BTP Onetec
  • Camerfirma
  • Cedro
  • CEREC Fábrica Nacional De Moneda Y Timbre – Real Casa De La Moneda E.P.E – M.P. (FNMT-RCM)
  • Certificacion De Envios ICPM
  • Certifirm
  • CGI Information Systems and Management Consultants España S.A
  • Codicert
  • Colegio Oficial de Arquitectos de Sevilla
  • Confirmsign, S.L.
  • Consorci AOC (Catcert)
  • Constata EU
  • Customer Comms
  • Digitaldocu Digitel TS
  • Dirección General de Política Digital – Consejería de Hacienda y Adm. Pública – Junta de Andalucía
  • Docalia
  • Docuten
  • Doyfe
  • EADTrust
  • ECS TSA
  • Edatalia
  • Edicom
  • Edigitaltrust
  • Eevidence
  • Efirma Go
  • Egarante
  • Elix Regtech
  • Factorymail
  • Factum Id
  • Fidestamp
  • Fikrea
  • Fingerink
  • Finveris
  • Firma Documentos
  • Firma365
  • Firmafy
  • Firmaprofesional, S.A.
  • Full Certificate – Wevote – Full Signature
  • Gohu TPA
  • Grupo Backup
  • Ianet Conecta S.L.
  • Icommunity
  • Idealista
  • IESA
  • Ilovepdf
  • Isigma
  • Izenpe, S.A.
  • Legal Intermedia «Verum Digital»
  • Legalbono
  • Legalpin
  • Leypal
  • Lleida.Net
  • Lleidanet Pki
  • Logalty Servicios de Tercero de Confianza S.L.
  • Mailsuite
  • Mailteck
  • Mensagia
  • Mensatek
  • Metaposta
  • Ministerio de Asuntos Económicos y Transformación Digital
  • Ministerio de Defensa de España
  • Nivimu
  • Nodalblock
  • Notificad@S
  • On Diversity Limited España
  • Pipeline Software
  • Punto Neutro
  • R2 Docuo
  • RD Post
  • Registradores De España
  • Rubricae
  • Salvador Portillo Naranjo
  • Sectigo
  • Segursign
  • Seres
  • SGNTJ / GGTDAL
  • Signaturit
  • Signaturit- Ivnosys
  • Signe Autoridad De Certificación
  • Signicat Spain
  • Signyourdocs
  • Sihecert, S.L
  • Sinatura
  • Smartbiometrik
  • Softy
  • Spairal Commerce
  • Tecalis
  • Teenvio
  • Terraminium
  • Uanataca
  • Validated Id
  • Vintegris
  • Wiwink
  • Zertiban
  • Zertifika Outsourcing

Me ha parecido interesante publicar información más detallada de las entidades que así lo deseen.

Por ejemplo algunos servicios no cualificados de EADTrust:

Si desea que incluya información adicional de alguno de los prestadores de servicios de confianza no cualificados, contacte conmigo a través de este mail. También si detecta algún error en la denominación.

Ponga al principio del asunto [PSCNC] para facilitar la búsqueda.

SI puede incluir en alguna parte del correo electrónico el texto exacto a incluir es preferible (incluyendo los enlaces), porque así puedo copiar y pegar el texto sin más. También puede incluir un logo si lo desea.

Qualified Certificates for PSD2 (Second Payment Services Directive)

Deja un comentario

EADTrust offers several services related to the issuance of PSD2 qualified certificates, including the issuance of test certificates.

But, what Are PSD2 Certificates?

PSD2 certificates are specialized digital certificates mandated under the European Union’s Revised Payment Services Directive (PSD2, EU Directive 2015/2366), designed to enhance the security, transparency, and interoperability of electronic payment systems across the EU. Introduced to foster open banking, PSD2 requires financial institutions, such as banks, and third-party providers (TPPs) to allow secure access to customer account data and payment services, provided customer consent is given. To facilitate this securely, PSD2 mandates the use of qualified electronic certificates compliant with the eIDAS Regulation (EU No 910/2014), which ensures trust and authenticity in electronic transactions.

These certificates serve as a digital “company ID” for payment service providers (PSPs), identifying them and their roles within the payment ecosystem while securing communications between parties, such as banks (Account Servicing Payment Service Providers, or ASPSPs) and TPPs. The certificates are critical for meeting the Regulatory Technical Standards (RTS) outlined in EU 2018/389, particularly Article 34, which specifies requirements for strong customer authentication (SCA) and secure communication channels. Issued by Qualified Trust Service Providers (QTSPs) listed in the EU Trusted List, PSD2 certificates ensure that only authorized entities can access sensitive financial data or initiate payments, thereby reducing fraud and enhancing consumer protection.

Types of PSD2 Certificates

There are two primary types of PSD2 certificates, each serving distinct purposes within the PSD2 framework:

  1. Qualified Website Authentication Certificate (QWAC):
    • Purpose: QWACs are used to establish a secure, encrypted Transport Layer Security (TLS) connection between parties, such as a TPP and a bank’s API. They authenticate the identity of the PSP or TPP and secure the communication channel, ensuring data confidentiality and integrity during transmission.
    • Use Case: QWACs are mandatory for identifying PSPs when they access a bank’s dedicated interface (API) or fallback mechanism (emergency interface). They are akin to Extended Validation (EV) TLS/SSL certificates but include additional PSD2-specific fields.
    • Technical Details: QWACs rely on a minimum key length of 2048 bits and are generated using a Certificate Signing Request (CSR) that includes the public key and specific attributes (e.g., Organization, Country).
  2. Qualified Certificate for Electronic Seal (QSealC or QSEAL):
    • Purpose: QSealCs provide a digital signature or “seal” on data or messages exchanged between parties, ensuring the data’s origin and integrity. They prevent tampering and offer non-repudiation, meaning the sender cannot deny having sent the message.
    • Use Case: QSealCs are used to sign requests or transactions (e.g., payment initiation or account information retrieval), providing evidence of the request’s authenticity. While not always mandatory, some banks or standards (e.g., Berlin Group’s NextGenPSD2) may require their use alongside QWACs.
    • Technical Details: QSealCs require a minimum key length of 3072 bits for higher security. They can be implemented as “soft seals” (stored digitally without hardware) or with hardware security modules (HSMs) or smart cards, depending on the provider.

Both certificate types are defined under the ETSI TS 119 495 standard, which outlines their technical specifications and ensures interoperability across the EU.

Information Contained in PSD2 Certificates

PSD2 certificates include standard fields found in digital certificates, as well as additional PSD2-specific information to meet regulatory requirements. The key details are:

  • Standard Certificate Fields:
    • Organization (O): The legal name of the PSP or entity.
    • Organizational Unit (OU): Optional, specifying a department or division (if applicable).
    • Common Name (CN): Typically the domain or identifier of the entity.
    • Country Code (C): The two-letter code of the entity’s home country (e.g., “DE” for Germany).
    • State or Province (S): The entity’s state or region (optional).
    • City (L): The entity’s city of operation.
  • PSD2-Specific Fields (in the Qualified Certificate Statement, QC Statement):
    • Authorization Number: A unique identifier issued by the National Competent Authority (NCA) upon registration or licensing of the PSP. This links the certificate to the official public register.
    • PSD2 Roles: The specific roles or entitlements of the PSP, indicating the services they are authorized to provide (detailed below).
    • Name of the National Competent Authority (NCA): The regulatory body overseeing the PSP (e.g., BaFin in Germany, Bank of Spain in Spain).

These fields ensure that the certificate unambiguously identifies the PSP, its authorized activities, and the supervising authority, enabling banks and other parties to verify legitimacy during transactions.

Requirements for Issuance of PSD2 Certificates

The issuance of PSD2 certificates involves strict requirements to ensure security and compliance with EU regulations. These include:

  1. Authorization by a National Competent Authority (NCA):
    • Before applying for a certificate, a PSP must obtain a license or registration from its NCA (e.g., the Financial Conduct Authority in the UK, KNF in Poland). This process confirms the entity’s eligibility to operate as a PSP under PSD2.
    • CRR credit institutions (banks with a full banking license) do not require additional authorization and can directly apply for certificates covering all roles.
  2. Application to a Qualified Trust Service Provider (QTSP):
    • Certificates must be issued by a QTSP accredited under eIDAS and listed in the EU Trusted List. Examples include DigiCert, GlobalSign, and Buypass.
    • The PSP submits a Certificate Signing Request (CSR) containing the public key and required attributes, generated with specified key lengths (2048 bits for QWACs, 3072 bits for QSealCs).
  3. Identity Verification:
    • A natural person (e.g., an authorized signatory) must be identified to represent the PSP. This can be:
      • The signatory themselves for a Qualified Seal Card PSD2.
      • A delegated representative (subscriber’s representative) for QWACs or QSealCs, authorized via a signed request form.
    • Identification methods vary by country:
      • In Germany, PostIdent is standard.
      • Elsewhere, it may involve embassies, consulates, or notaries listed in the European Directory of Notaries.
  4. Validation Against Public Registers:
    • The QTSP verifies the PSP’s authorization number and roles against the NCA’s public register or the European Banking Authority (EBA) register to ensure accuracy and legitimacy.
  5. Technical Requirements:
    • The PSP generates and manages its own private keys, ensuring they remain secure (e.g., using an HSM for QSealCs).
    • Test certificates, which do not require an NCA license, are available for pre-authorization testing but follow the same technical standards.
  6. Certificate Validity and Renewal:
    • QWACs are typically valid for one year, while QSealCs may vary depending on the QTSP. Changes (e.g., PSP name or roles) require revocation of the old certificate and issuance of a new one, as fields cannot be edited.

Roles Encoded in PSD2 Certificates

PSD2 recognizes four distinct roles for PSPs, which define their authorized activities within the payment ecosystem. These roles are encoded in the certificates and align with the ETSI TS 119 495 standard abbreviations:

  1. Account Information Service Provider (AISP, PSP_AI):
    • Description: AISPs aggregate and provide consolidated views of a customer’s payment accounts (e.g., from multiple banks). They help with budgeting, expense tracking, and financial planning.
    • Function: Read-only access to account data, with customer consent.
  2. Payment Initiation Service Provider (PISP, PSP_PI):
    • Description: PISPs initiate payments on behalf of customers directly from their bank accounts, acting as intermediaries between merchants and banks.
    • Function: Facilitates online credit transfers or direct debits, bypassing traditional card payments.
  3. Account Servicing Payment Service Provider (ASPSP, PSP_AS):
    • Description: Typically traditional banks or institutions that maintain payment accounts for customers.
    • Function: Provides account management services and must open APIs for TPPs to access customer data or initiate payments.
  4. Payment Service Provider Issuing Card-Based Payment Instruments (PSP_IC):
    • Description: Entities authorized to issue card-based payment instruments (e.g., debit or credit cards).
    • Function: Enables card payments as part of the payment ecosystem.

A single PSP can hold multiple roles (e.g., both AISP and PISP), and these are all encoded in the certificate’s QC Statement. Banks with a full CRR license can apply for all roles without additional authorization, while TPPs must specify their roles during NCA registration.

Conclusion

PSD2 certificates (QWACs and QSealCs) are vital tools for ensuring secure, authenticated, and interoperable electronic payments under the PSD2 framework. They identify PSPs, secure communications, and protect data integrity, relying on strict issuance processes overseen by QTSPs and NCAs. Containing detailed organizational and regulatory information, they encode one or more of the four PSP roles (AISP, PISP, ASPSP, PSP_IC), reflecting the diverse functions within the open banking landscape. This robust system supports PSD2’s goals of enhancing security, promoting competition, and protecting consumers across the EU.

Certificados cualificados para PSD2 (Segunda Directiva de Servicios de Pago)

Deja un comentario

EADTrust expide Certificados Cualificados PSD2 para entidades financieras y otros roles definidos en la Directiva PSD2: TPP, AISP, PISP, ASPSP. CISP

Los certificados PSD2 son certificados digitales cualificados diseñados para cumplir con la Directiva de Servicios de Pago (PSD2) de la Unión Europea. Estos certificados aseguran las transacciones financieras y la comunicación entre los proveedores de servicios de pago y las instituciones financieras.

Tipos de certificados PSD2

Existen dos tipos principales de certificados PSD2:

  1. QWAC (Qualified Website Authentication Certificate):
    • Autentifica el sitio web del proveedor de servicios de pago.
    • Cifra las comunicaciones entre el banco y el proveedor mediante conexión TLS.
    • Garantiza la comunicación segura en la transmisión de datos.
  2. QSealC (Qualified eSeal Certificate):
    • Securiza los datos a nivel de aplicación.
    • Identifica de forma unívoca quién ha accedido a la API.
    • Protege los datos firmados contra modificaciones, asegurando su integridad.

Información contenida

Los certificados PSD2 incluyen:

  • Identidad del proveedor de servicios de pago.
  • Roles del proveedor (pueden ser uno o varios: AISP, PISP,…).
  • Número de autorización asignado por la Autoridad Nacional Competente.
  • Nombre del dominio/dominios autenticados

Requisitos para su expedición

Para obtener un certificado PSD2, se requiere:

  1. Ser un proveedor de servicios de pago autorizado con un número de autorización asignado por la Autoridad Nacional Competente (en España, el Banco de España).
  2. Presentar documentación:
    • Documento de identificación (DNI, NIE) del representante legal.
    • Poder que acredite la representación vigente.
    • Identificación de la categoría de la entidad (organización privada, entidad gubernamental, comercial o no comercial)
  3. Pasar por un proceso de validación, similar al requerido para TLS de validación extendida (EV), que puede incluir:
    • Verificación cara a cara de los documentos oficiales del titular del certificado.
    • Confirmación de la licencia y roles del proveedor de servicios de pago por parte de la autoridad certificadora
  4. En algunos casos, se puede requerir la intervención de un notario público para facilitar el proceso de validación

Los certificados PSD2 son cruciales para garantizar la seguridad y la confianza en las transacciones financieras digitales en el marco de la normativa europea, proporcionando autenticación, integridad y confidencialidad en las comunicaciones entre proveedores de servicios de pago, bancos y clientes.

Puede contactar con EADTrust llamando al 91 7160555 o 902 365 612.

Participación en Tinku TV para hablar de EIDAS2 y de la Cartera IDUE

Deja un comentario

Hoy participo en Tinku TV, en el Programa de Derecho que dirige Lara Novis y en el que comentaremos brevemente algunos de los aspectos más relevantes del Reglamento EIDAS2 y de la Cartera de Identidad Digital de la Unión Europea.

Lara siempre organiza debates interesantes para garantizar un análisis exhaustivo de las cuestiones actuales y emergentes en el ámbito jurídico, por lo que agradezco que me haya invitado a su programa.

A través de cada episodio, da pie a que abogados, empresarios y responsables de diversas áreas compartan su visión y sus experiencias prácticas, dando respuesta a las preguntas más apremiantes del entorno jurídico actual.

El programa se emite en directo a las 17:00 y quedará disponible en la plataforma de Tinku TV

🔴 Para verlo en directo en Tinku Televisión (plataforma propia)
https://tinku.es/live/

🔴 Para verlo en directo y suscribirte a su canal en YouTube
https://www.youtube.com/channel/UCXd4lSr-NWwfLF7hUqT6HUQ?sub_confirmation=1

🔴 Para verlo en directo por LinkedIn
https://www.linkedin.com/company/tinku-es/

Y para que tengáis contexto de qué es el Reglamento EIDAS 2 y la Cartera IDUE, y podáis seguir mejor la entrevista (que quizá entre en detalles técnicos y legales), os incluyo información adicional a continuación.

El eIDAS2 es una actualización del Reglamento eIDAS original (Reglamento UE 910/2014), que entró en vigor el 20 de mayo de 2024 como el Reglamento (UE) 2024/1183. Este nuevo marco legal busca mejorar la identificación electrónica y los servicios de confianza en la Unión Europea, adaptándose a las necesidades actuales de un entorno digital en constante evolución. Su objetivo principal es garantizar una identidad digital segura, interoperable y fácil de usar para todos los ciudadanos, residentes y empresas de la UE, promoviendo transacciones digitales más seguras y eficientes tanto a nivel nacional como transfronterizo.

Uno de los elementos más destacados del eIDAS2 es la introducción de la Cartera de Identidad Digital Europea, conocida como EUDI Wallet (European Digital Identity Wallet) o Cartera IDUE en español (Identidad Digital de la Unión Europea). Se trata de una aplicación móvil que permitirá a los usuarios almacenar, gestionar y compartir de manera segura datos de identidad y declaraciones electrónicas de atributos personales, (como el DNI, el carné de conducir, títulos académicos, certificados médicos, datos de empadronamiento o poderes de representación) y firmar documentos electrónicamente con firma cualificada. Esta cartera digital no sustituye los propios documentos físicos como el DNI, pero amplía sus funcionalidades al ámbito digital, ofreciendo un medio unificado para autenticarse en servicios públicos y privados, tanto en línea como presencialmente.

La Cartera IDUE está diseñada para dar a los usuarios un mayor control sobre sus datos personales. Por ejemplo, permite compartir solo la información necesaria para una transacción específica (como probar que eres mayor de edad sin revelar tu fecha de nacimiento completa) y registrar todas las interacciones para mayor transparencia. En el futro permitirá retirar el consentimiento sobre datos personales aportados con anterioridad por lo que será una de las primeras herramientas para ejercer los derechos SOPLAR (antiguos ARCO) con un click.

Además, deberá ser aceptada obligatoriamente por empresas y organismos en todos los países de la UE, lo que facilita la interoperabilidad y el acceso a servicios transfronterizos. Los Estados miembros deberán proporcionar esta cartera a sus ciudadanos en un plazo de 24 meses tras la aprobación de las especificaciones técnicas detalladas, previstas en actos de ejecución que complementan el reglamento. Es decir, en diciembre de 2026.

Del Legado de Ettore Majorana al Criptocalipsis: Adopción de la computación postcuántica para firmas electrónicas y otros usos

1 respuesta

Ettore Majorana fue un físico italiano brillante y enigmático que dejó una huella imborrable en la ciencia antes de desaparecer misteriosamente en 1938. En 1937, propuso la existencia de unas partículas especiales, hoy llamadas “fermiones de Majorana”, que son únicas porque son sus propias antipartículas. Este concepto, inicialmente teórico, ha inspirado avances modernos como el chip Majorana 1, anunciado por Microsoft en febrero de 2025. Con este chip, la computación cuántica da un salto hacia adelante, pero también nos acerca a un “criptocalipsis”: el momento en que las claves privadas de los criptosistemas de clave pública actuales podrían descifrarse mediante la computación cuántica.

El avance en computación cuántica que supone el chip Majorana 1, con qubits topológicos, pone en riesgo la criptografía de clave pública basada en algortmos RSA y ECC.

Las autoridades de certificación (CAs), nos planteamos la disyuntiva: ¿priorizamos la emisión de certificados resistentes a la criptografía cuántica futuro o mejoramos los sistema de archivo electrónico para preservar documentos firmados electrónicamente con las técnicas actuales? Este artículo analiza el impacto técnico del Majorana 1, el papel del algoritmo de Shor y estrategias prácticas frente a esta transición.

Majorana 1 y el Algoritmo de Shor

El chip Majorana 1 usa los fermiones de Ettore para crear “qubits topológicos”, unidades de cálculo cuántico más estables que las tradicionales. Aunque el presentado estos días solo tiene 8 qubits, Microsoft promete escalarlo a miles o incluso un millón en pocos años. ¿Por qué importa? Porque con suficientes qubits (digamos, 3000-6000), una computadora cuántica podría usar el algoritmo de Shor para descifrar sistemas como ECC-512, comunes en certificados digitales, en cuestión de horas. Esto podría pasar hacia 2031-2033. Para RSA-4096, más resistente, harían falta 20,000 qubits o más, retrasando su caída quizás a 2035-2040. Sin embargo, el peligro ya existe: los datos protegidos hoy podrían ser guardados y descifrados después, un riesgo conocido como “recolectar ahora, descifrar después”.

Certificados Post-Cuánticos

La criptografía post-cuántica (PQC) utiiza algoritmos que no son vulnerables frente al algoritmos de Shor con problemas matemáticos resistentes, como los basados en retículos (lattices). En 2024, NIST estandarizó algoritmos clave:

  • CRYSTALS-Dilithium (ML-DSA): Usa Module-LWE y SIS; firmas de 2.7-4.8 KB, nivel 128-256 bits PQC.
  • FALCON (FN-DSA): Basado en NTRU-SVP; firmas compactas (0.6-1.2 KB), optimizado para verificación rápida.
  • CRYSTALS-Kyber (ML-KEM): Cifrado con MLWE; claves/cifrados de 0.8-1.6 KB.

La estrategia híbrida combina estos algoritmos con los clásicos: un certificado con ECDSA P-256 y ML-DSA-44 es válido hoy y seguro contra el algoritmo de Shor en el futuro. En eIDAS, un HSM QSCD como el Thales Luna S750 (firmware 7.7+, que figura en el listado de QSCD certificados en el Dashboard de la UE) genera estas claves duales. Para ECC, que se usó en pasaportes digitales COVID, la urgencia sería alta en otros usos que requieran validez a mayor plazo: 3000 qubits en 2031 podrían atacar estas longitudes de clave. Las claves basadas en RSA-4096 permiten una transición más pausada, pero iniciar PQC híbrido pronto evita prisas futuras.

Archivado Digital: Garantizar la Preservación

El archivado digital es un pilar técnico y regulatorio, especialmente bajo eIDAS (Art. 32), que exige poder validar firmas años después de su realización. Si el algoritmo de Shor rompe claves ECC en 2031 o RSA en 2035, las firmas y sello electrónicos basados en los certificados actuales deben seguir siendo verificables, Por lo que conviene ir adoptando técnicas apropiadas:

  • Sellos de tiempo cualificados: Firmarlos con ML-DSA asegura su resistencia cuántica.
  • Almacenamiento: Bases de datos replicadas y HSMs guardan certificados, CRLs y logs por 7-10 años (siguiendo las pautas de la norma ETSI EN 319 521).

Para CAs con predominio de RSA-4096, reforzar el servicio de archivo electróncio es prioritario: su mayor resistencia da tiempo, pero la trazabilidad es crítica. Para ECC, el archivado complementa PQC, protegiendo datos históricos mientras Shor acecha.

Recomendaciones para Prestadores de Servicios de Confianza DIgital

A modo de resumen

  • Prestadores que emiten certificados ECC : Deben considerar que existe una alta probabilidad de que se puede alcanzar un computador cuántico de 3000-6000 qubits en 2031, por lo que el algoritmo ECC-512 podría estar en riesgo (logaritmo discreto resuelto en O(n3)). Los PSC debería emitir certificados híbridos (ECC + PQC) ya y gestionar el archivo con sellos de tiempo basados en algoritmos PQC.
  • Prestadores que emiten certificados RSA-4096: Se requieren 20,000+ qubits (factorización en O(n3)), por lo que el computador cuántico apropiado podría no llegar hasta hasta 2035+. En este caso convendría priorizar el archivado digital, con sellos de tiempo basados en algoritmos PQC.

El chip Majorana 1, heredero del genio de Ettore, hace que el algoritmo de Shor se convierta en una amenaza más inminente de lo que se pensaba para los algoritmos de criptografía de clave pública ECC y RSA. La respuesta técnica combinará certificados PQC híbridos y un archivado robusto.

XI Congreso Internacional de Derecho Digital ENATIC

Deja un comentario

Madrid acogerá el próximo 27 de febrero de 2025, la undécima edición del Congreso Internacional de Derecho Digital de ENATIC, en la que me han invitado a participar.

El congreso se celebrará en la sede del Consejo General de la Abogacía Española en Paseo de Recoletos 13 – 28004 Madrid y ya es posible inscribirse.

La cita reunirá a expertos de referencia y líderes en sus áreas de actividad en el ámbito del Derecho Digital, como inteligencia artificial, Blockchain, servicios y mercados digitales, ciberseguridad o privacidad.

Estructura de la jornada

9:00 Inaugración. Belén Arribas (Abogada y Presidenta de ENATIC). Participan Miguel Hermosa (Consejero adjunto a Presidencia CGAE), SEDIA, Red.es y ENATIC

9:30 Mesa redonda: Los Derechos Digitales para la nueva era. Modera: Rodolfo Tesone (Presidente emérito ENATIC)

  • Borja Adsuara
  • Ofelia Tejerina
  • Ramsés Gallego

10:15 Mesa redonda: Los Derechos Digitales y la IA. Modera: José Manuel Muñoz

  • Carmen Muñoz
  • Antonio Serrano
  • Belén Arribas

11:00 Pausa – Café

11:30 Mesa redonda: Protección de Datos. Modera: Esther García

  • Francisco Pérez
  • Joana Marí
  • Marcos Mª Judel

12:15 Mesa redonda: Ciberseguridad. Modera: Carlos Saiz

  • Francisco Lázaro
  • Daniel García

13:00 TBD- Enatic, ISMS, ESYS, ICMedia, Registradores

14:00 Comida Asamblea General

15:30 Mesa redonda: Identidad Digital (eIDAS2). Moderada por Pilar Garrido

  • Elena Gil
  • Lucas Carmona
  • Julián Inza

16:15 Mesa redonda: Legaltech. Modera: Carlos Fernández

  • Sara Molina
  • Ferrán Sala

16:45 Mesa redonda: Protección de menores de edad y Ciberseguridad. Moderada por Pilar Tintoré

  • Beatriz Izquierdo
  • Escarlata Gutiérrez

17:15 Modernización de la Justicia. Modera: Laura Fra

  • Miguel Hermosa
  • Ana de la Ser
  • Joaquín Delgado

18:00 Los Derechos Digitales y el Compliance. Leandro Núñez

  • Eloy Velasco
  • Concepción Campos

18:45 Clausura.

  • Belén Arribas
  • Rodolfo Tesone
  • Participan: CGAE, SEDIA, Red.es y ENATIC