Archivo de la categoría: Firma Electrónica

Verificación de la organización en EPREL mediante certificados electrónicos cualificados de persona jurídica para sello electrónico

2 respuestas

En este blog he ido informando sobre varios aspectos relativos a la inscripción de empresas fabricantes o distribuidoras de aparatos eléctricos en la base de datos EPREL (European Product Registry on Energy Labelling, Registro europeo de productos para el etiquetado energético), en uno de cuyos pasos es necesario utilizar certificados electrónicos cualificados de persona jurídica para sello electrónico, expedidos por un Prestador Cualificado de Servicios Electrónico de Confianza, como, por ejemplo, EADTrust.

Estos son los artículos anteriores:

En el artículo de hoy, me centraré en la fase de «Verificación de la organización».

El Proceso de Verificación de Suministradores, tiene como objetivo garantizar que la información publicada respecto a la empresa es genuina y proviene de fuentes fiables. En el momento actual (marzo de 2022) todavía no está disponible la opción de hacer constar personas físicas como suministradores y titulares del etiquetado energético, por lo que en el campo «tipo de organización» del formulario» se indicará «Legal Person«.

El proceso de verificación es un paso clave para determinar los suministradores que pueden registrar productos en la Plataforma EPREL, lo que se extiende a diferentes proveedores más allá de los radicados en Unión Europea, el Espacio Económico Europeo e Irlanda del Norte. El proceso de verificación también evita que un suministrador pueda hacerse pasar por otro. Por último, confirma la representación del usuario que se ha dado de alta siguiendo los pasos descritos en artículos anteriores de este blog ( Supplier Admin), de forma que queda acreditado que puede actuar en nombre de la entidad que figura en el certificado electrónico que se usa para este paso de verificación.

La plataforma EPREL ofrece, desde febrero de 2022, un proceso de verificación electrónica basado en la comprobación de los sellos electrónicos cualificados, realizados con certificados electrónicos cualificados de persona jurídica expedidos por Prestadores de Servicios Electrónicos de Confianza Cualificados, como es el caso de EADTrust (entidad con la que se puede contactar desde España llamando al 902 365 612 o 917160555).

Para que la verificación no dé problemas, en el caso de empresas españolas, deberán asegurarse de hacer constar en el campo del formulario correspondiente a la Identificación de la Organización (Organisation Identifier) el número correcto.

Actualización 2024:

Hasta abril de 2024 el número correcto a incluir en el campo «Organisation Identifier» ha sido el CIF de la entidad, con su letra, ya que era el dato que figuraba en el certificado cualificado. La denominación también debe coincidir exactamente con la que consta en el certificado, así como el país.

Desde esa fecha, el valor que se ha de incluir es el EUID europeo con el prefijo NTR, no el CIF (con el prefijo VAT). EADTrust ha cambiado el procedimiento de expedición de los certificados de persona jurídica para EPREL para recoger ese dato (por ejemplo, NTRES-ES28065.080862918, en vez de VATES-B85626240). Este cambio podría implicar que estos certificados no se puedan usar para relacionarse con las entidades públicas españolas.

Este cambio viene forzado por la publicación del Reglamento de Ejecución (UE) 2024/994 de la Comisión de 2 de abril de 2024 por el que se establecen los detalles operativos de la base de datos de los productos creada en virtud del Reglamento (UE) 2017/1369 del Parlamento Europeo y del Consejo.

Cuando el certificado cualificado de persona jurídica para EPREL lo expide EADTrust, este certificado se recibe encapsulado en un dispositivo eToken 5110CC de Gemalto/Safenet/Thales basado en el chip criptográfico IDPrime 940.

La verificación electrónica en la Plataforma EPREL es un método de verificación rápido, en el que los suministradores de aparatos y componentes reciben la confirmación de su verificación en cuestión de minutos desde que aportan el PDF de verificación (Expediente de Verificación) sellado electrónicamente.

Para ello, se accede primero a la opción correspondiente del menú

A continuación se solicita el fichero de verificación

Una vez solicitado el fichero, el servidor lo crea incluyendo los datos de la organización y lo sella con el certificado de la comisión europea, lo que puede tardar unos minutos.

Finalmente el fichero se puede descargar

Ese es el fichero que hay que sellar con el certificado cualificado de entidad. Para ello se puede usar el software Adobe Reader DC, que incluye la posibilidad de realizar firmas electrónicas. Técnicamente, firmar o sellar electrónicamente es similar. La diferencia está en que las «Personas Físicas» firman electrónicamente y las «Personas Jurídicas» sellan electrónicamente los documentos electrónicos.

Una vez que se haya subido a la Plataforma EPREL el PDF de verificación sellado electrónicamente, se recibe la confirmación de la verificación (o la información de que no se ha logrado realizarla) en unos momentos. En caso de no lograrse la verificación, la plataforma EPREL indica la razón que explica por qué ha fallado.

Con esa información del fallo se pueden corregir los datos consignados en la plataforma y generar de nuevo el archivo de verificación para su sellado electrónico.

Productos que se registran en la Plataforma EPREL:

  1. Calentadores locales
  2. Campanas extractoras
  3. Hornos domésticos
  4. Armarios frigoríficos profesionales
  5. Unidades de ventilación residenciales
  6. Calderas de combustible sólido
  7. Paquetes de una caldera de combustible sólido, calentadores suplementarios, controles de temperatura y dispositivos solares
  8. Acondicionadores de aire
  9. Secadoras de ropa domésticas
  10. Calentadores de agua
  11. Paquetes de calentador de agua y dispositivo solar
  12. Dispositivos solares
  13. Acumuladores de agua caliente
  14. 1Calentadores de espacios/calentadores combinados
  15. Dispositivo solar
  16. Control de la temperatura
  17. Paquetes de calentador de espacio, control de temperatura y dispositivo solar dispositivo/paquetes de calentador combinado, control de temperatura y dispositivo solar
  18. Pantallas electrónicas
  19. Lavadoras-secadoras domésticas
  20. Lavadoras domésticas
  21. Fuentes de luz EPREL
  22. Aparatos de refrigeración
  23. Lavavajillas domésticos
  24. Aparatos frigoríficos con función de venta directa
  25. Neumáticos

Cómo tramitar en EPREL las etiquetas de eficiencia energética con certificados cualificados de persona jurídica

4 respuestas

Las fabricantes y distribuidores de aparatos eléctricos deben sustituir las etiquetas de clasificación energética generadas con la normativa anterior por otras nuevas (que contienen un código QR) y que permiten afinar mejor entre los aparatos de menor consumo.

Para ello deben acceder a la base de datos EPREL de la comisión europea disponible en el enlace: https://europa.eu/youreurope/business/product-requirements/labels-markings/energy-labels/index_es.htm

Para acceder a EPREL es necesario contar con una identificación gestionada en el sistema ECAS (EU Login) de la unión europea, por lo que el primer paso es darse de alta. Para ello es conveniente tener un teléfono móvil y descargarse la app «EU Login Mobile» ya que el acceso a los servidores comunitarios se refuerza con el control de identidad gestionado con la App.

La generación de las etiquetas energéticas se facilita con una web de ayuda denominada Energy Label Generator (en inglés).

Para darse de alta en ECAS (EU Login) hay que pinchar este enlace (https://webgate.ec.europa.eu/cas/login?loginRequestId=ECAS_LR-46376802)

Y a continuación «Create an account».

Dado que para gestionar la base de datos en lo que compete a cada entidad distribuidora o fabricante es necesario un certificado cualificado de persona jurídica, conviene contactar anticipadamente con EADTrust (en el+34 91 7160555) para conseguir uno.

Hace unos días comenté en este blog los cambios que se avecinaban en relación con EPREL y que ya se pueden comprobar desde el 14 de marzo de 2022.

Inscripción de productos en la base de datos EPREL (European Product Registry for Energy Labelling) de la Comisión Europea con certificados de EADTrust

4 respuestas

EADTrust ha verificado la compatibilidad de sus certificados electrónicos con las nuevas directrices sobre el Registro EPREL (European Product Registry for Energy Labelling) de eficiencia de productos eléctricos.

A partir de ahora será necesario que las fichas clasificación energética de productos eléctricos se firmen o sellen electrónicamente con certificados electrónicos cualificados tales como los que expide EADTrust.

Una de las herramientas de política energética más conocidas, exitosas y longevas para ahorrar energía y costes a los consumidores es la etiqueta energética de la UE para los productos eléctricos.

Aunque el marco regulatorio existe desde 1994, se revisó por primera vez en 2010, y la última actualización se realizó en 2017, a través del Reglamento (UE) 2017/1369 por el que se establece un marco para el etiquetado energético («el Reglamento marco»).

Sobre la base del Reglamento marco, la Comisión Europea adopta requisitos de etiquetado para grupos de productos específicos a través de Reglamentos delegados.

La obligación de los suministradores de registrar los productos procede del Reglamento marco, que actualiza los requisitos de etiquetado de eficiencia energética para los productos relacionados con la energía.

Aparte de esto, el Reglamento también actualizó el formato de etiquetado energético. La revisión del Reglamento de 2010 permitió la ampliación de la escala energética más allá de la letra A, introduciendo nuevas clases (A+, A++ y A+++). Debido al progreso tecnológico, un número creciente de equipos se clasificó en los niveles superiores.

Llegó un momento en que se hizo necesario definir más finamente las categorias de certificación para que los equipos más eficientes se diferencien del resto.

Por este motivo, las nuevas etiquetas reasignarán la escala que pasará de recorrer los niveles A +++ a D a referirse a los niveles de A a G.

El Reglamento marco exige la creación de una «base de datos de productos».

El artículo 4 («Obligaciones de los proveedores en relación con la base de datos de productos») del Reglamento establece la obligación de los proveedores de registrar cualquier nuevo modelo de producto, en el ámbito de aplicación del Reglamento marco, antes de comercializarlo.

El artículo 12 («Base de datos de productos») del Reglamento, encomienda a la Comisión Europea que cree y gestione dicha base de datos en línea para productos con etiqueta energética.

La base de datos de productos tiene 3 funciones principales:

1. Permitir el registro por parte de los proveedores de modelos de productos introducidos en el mercado de la Unión, tal como exige la legislación.

2. Facilitar el acceso, por parte de las autoridades nacionales de vigilancia del mercado, a la documentación técnica necesaria para el control del cumplimiento.

3. Permitir a los consumidores un fácil acceso público en línea a la información clave sobre la eficiencia del producto, incluida la etiqueta energética.

Además, la plataforma asociada a la base de datos EPREL aporta:

  • Proveedores, la opción de generar Etiquetas y Fichas de Información de Producto (o Fichas de Producto) en todas las lenguas de la UE. La plataforma también proporciona una herramienta para generar un código QR, que redirige al equipo concreto en la base de datos.
  • Distribuidores, ela disponibilidad de las versiones electrónicas de las etiquetas y «fichas de información del producto» (o «fichas de producto» según el texto de la Directiva derogada). Tanto las tiendas físicas como tiendas de comercio electrónico pueden descargar estos documentos desde el Sitio Público o a través de Interfaces de Programación de Aplicaciones (API) específicas.
  • Administraciones públicas, gestores de compra pública y responsables políticos, información necesaria para la toma de decisiones sobre los procedimientos de licitación, el enfoque de posibles ayudas y subvenciones, la elaboración de medidas fiscales y similares.

Puede contactar con EADTrust a través de los teléfonos +34 91 716 0555 (o 902 365 612)

Plataformas de voto electrónico

Deja un comentario

Han pasado varios años desde la aparición de las primeras plataformas de voto electrónico con entidades pioneras como Scytl e Innovoto y en la actualidad ha florecido la oferta de este tipo de propuestas, en particular desde la irrupción de la pandemia COVID-19 que dió lugar a una gran flexibilización en gestión del voto electrónico societario.

Ya han aparecido diferentes plataformas de voto electrónico como las siguientes:

  • Appsamblea
  • Councilbox 
  • CustomVote
  • Demokratian
  • Docuten
  • Kuorum
  • nVotes (antiguo Agora Voting)
  • Sufragium
  • Wevote

Que se suman a las ya citadas Scytl e Innovoto .

Durante la pandemia, el voto electrónico societario tuvo el apoyo de diversas normas que se acumularon el el BOE a lo largo de los meses.

El Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 definió en los artículo 40 y 41 referidos a «Medidas extraordinarias aplicables a las personas jurídicas de Derecho privado» y «Medidas extraordinarias aplicables al funcionamiento de los órganos de gobierno de las Sociedades Anónimas Cotizadas» la autorización singular para el voto a distancia, incluso cuando no estuviera previsto estatutariamente.

El Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19 introdujo algunos cambios en dichos artículos.

Posteriormente, el Real Decreto-ley 34/2020, de 17 de noviembre, de medidas urgentes de apoyo a la solvencia empresarial y al sector energético, y en materia tributaria consolidó y extendió estas prácticas, en su Artículo 3 referido a «Medidas extraordinarias aplicables a las personas jurídicas de Derecho privado».

En 2021, el Real Decreto-ley 5/2021, de 12 de marzo, de medidas extraordinarias de apoyo a la solvencia empresarial en respuesta a la pandemia de la COVID-19 , se prevé en la Disposición final octava, una modificación del Real Decreto-ley 34/2020, de 17 de noviembre, para seguir permitiendo que las sociedades anónimas que no hubieran podido modificar sus estatutos pudieran seguir celebrando la junta general o asamblea de socios por medios telemáticos durante el ejercicio 2021, siempre que se garantice la identidad del accionista que ejerce su derecho de voto y se ofrezca la posibilidad de participar en la reunión por distintas vías.

Nuevamente la Ley 2/2021, de 29 de marzo, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19 introduce en la Disposición final cuarta una Modificación del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 y medidas extraordinarias aplicables a las personas jurídicas de Derecho privado.

Si no se plantea para 2022 una nueva ampliación para la posibilidad de aplicación de medidas excepcionales de voto a distancia incluso cuando este voto no estuviera previsto en los estatutos, las sociedades no podrán hacerlo sin más.

En virtud de lo dispuesto en el artículo 182 bis de la Ley de Sociedades de Capital, todas aquellas Sociedades Anónimas y de Responsabilidad Limitada que deseen celebrar juntas exclusivamente telemáticas deberán:

  • Prever estatutariamente la autorización de convocar por parte del órgano de administración, juntas para ser celebradas sin asistencia física de los socios o sus representantes, es decir, que autoricen la convocatoria de juntas exclusivamente telemáticas.
  • La modificación estatutaria mediante la cual se otorgue dicha autorización deberá ser aprobada por socios que representen al menos dos tercios del capital presente o representado de la reunión. 
  • La celebración de la junta exclusivamente telemática estará supeditada en todo caso a que la identidad y legitimación de los socios y de sus representantes se halle debidamente garantizada y a que todos los asistentes puedan participar efectivamente en la reunión mediante medios de comunicación a distancia apropiados, como audio o video, complementados con la posibilidad de mensajes escritos durante el transcurso de la junta, tanto para ejercitar en tiempo real los derechos de palabra, información, propuesta y voto que les correspondan, como para seguir las intervenciones de los demás asistentes por los medios indicados. A tal fin, los administradores deberán implementar las medidas necesarias con arreglo al estado de la técnica y a las circunstancias de la sociedad, especialmente el número de sus socios.
  • El anuncio de convocatoria deberá informar de los trámites y procedimientos que habrán de seguirse para el registro y formación de la lista de asistentes, para el ejercicio por estos de sus derechos y para el adecuado reflejo en el acta del desarrollo de la junta. La asistencia no podrá supeditarse en ningún caso a la realización del registro con una antelación superior a una hora antes del comienzo previsto de la reunión.
  • Las respuestas a los socios o sus representantes que ejerciten su derecho de información durante la junta se producirán durante la propia reunión o por escrito durante los siete días siguientes a la finalización de la junta.
  • La junta exclusivamente telemática se considerará celebrada en el domicilio social con independencia de donde se halle el presidente de la junta.
  • En todo lo no previsto en los preceptos anteriores, las juntas exclusivamente telemáticas quedarán reguladas por las reglas generales aplicables a las juntas presenciales, adaptadas en su caso a las especialidades que derivan de su naturaleza.

Sin embargo, es de prever que el voto electrónico se siga generalizando tras la experiencia acumulada en la pandemia y la oferta de soluciones.

Si necesita utilizar un sistema de voto electrónico societario, puede contactar con EADTrust, Prestador de Servicios Electrónicos de Confianza Cualificado, entidad pionera en voto electrónico en empresas, universidades, sindicatos, asociaciones y colegios oficiales con su plataforma Innovoto.

Llame al +34 91 7160555 (Madrid, España)

Expedición de certificados cualificados sin comparecencia presencial (a distancia)

Deja un comentario

El Reglamento UE 910/2014 establece en su artículo 24:

1.   Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

  1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
  2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
  3. por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
  4. utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

El apartado 24-1.b permite la identificación a través de una plataforma de gestión de identidad siempre que se hayan adoptado medidas de seguridad apropiadas. El Reglamento de Ejecución (UE) 2015/1502 de la Comisión de 8 de septiembre de 2015 orienta sobre los aspectos a cumplir.

Para el caso de la opción  24-1.d ya existe en España adecuada cobertura según la Ley 6/2020 (Artículo 7):

(…) 
Podrá prescindirse de la personación de la persona física que solicite un certificado cualificado si su firma en la solicitud de expedición de un certificado cualificado ha sido legitimada en presencia notarial. 
(…) 
2. Reglamentariamente, mediante Orden de la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo-identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad. La determinación de dichas condiciones y requisitos técnicos se realizará a partir de los estándares que, en su caso, hayan sido determinados a nivel comunitario. 
Serán considerados métodos de identificación reconocidos a escala nacional, a los efectos de lo previsto en el presente apartado, aquellos que aporten una seguridad equivalente en términos de fiabilidad a la presencia física y cuya equivalencia en el nivel de seguridad sea certificada por un organismo de evaluación de la conformidad, de acuerdo con lo previsto en la normativa en materia de servicios electrónicos de confianza.

Este artículo da cobertura legal a la adopción de estas dos normas:

  • Orden ETD/465/2021, de 6 de mayo, por la que se regulan los métodos de identificación remota por vídeo para la expedición de certificados electrónicos cualificados. Normativa a cumplir para la identificación a distancia (videoconferencia y videoidentificación) y criterios de auditoría para permitir la evaluación de los sistemas que la implementan. Específica de España
  • ETSI TS 119 461 V1.1.1 (2021-07) – Policy and security requirements for trust service components providing identity proofing of trust service subjects. Para uso en toda la Unión Europea. Toca más casos de uso, no solo la videoidentificación remota .

Los CABs (Conformity Assessment Bodies) ya contemplan estas normas en sus auditorías.

Y es algo muy necesario como se pudo comprobar en la fase de confinamiento de la ciudadanía del primer semestre de 2020 provocado por la enfermedad COVID-19.

Firma electrónica indirecta

1 respuesta

En ocasiones hay que realizar firmas electrónicas sobre un documento electrónico principal que lleva adjuntos otros documentos electrónicos. Y puede que sea conveniente que alguno o todos los documentos adjuntos estén firmados electrónicamente. El primer documento suele estar en formato PDF y se puede firmar con herramientas como Adobe Acrobat DC (atención, las denominaciones de la firma en Acrobat son confusas: la que hay que usar es la firma basada en certificado).

Una posible solución a la firma de múltiples documentos (en caso de que el procedimiento al que se van a incorporar los documentos lo admita) es incluir en el escrito principal un anexo de firmas indirectas que incluye la relación de documentos electrónicos adjuntos, utilizando para ellos nombres descriptivos que deberán coincidir con los de los propios documentos y, si es posible, de forma que el nombre incluya entre sus primeros caracteres las cifras que componen su número ordinal dentro de la relación de documentos según la preferencia de ordenación del firmante o de quien elabora el escrito.

Para cada fichero es conveniente indicar el tamaño y es preceptivo indicar el valor hash correspondiente al fichero.

En la sección inicial del anexo, antes de incluir la propia tabla que contiene los nombres de los ficheros y sus valores, se debe especificar el formato de hash utilizado, que normalmente será de los tipos SHA-2 o SHA-3, considerando la variante concreta. Por ejemplo «SHA-2 (variante SHA-256)». Conviene indicar la notación empleada. Por ejemplo, «El resultado del valor HASH se expresa en notación hexadecimal», o «El resultado del valor HASH se expresa en notación Base64».

También es conveniente que los valores hash se incluyan en una tipografía de las denominadas  «de espaciado fijo entre caracteres» (en inglés «monospaced») como el tipo de letra Courier que permite apreciar que todas las tiras de caracteres tienen el mismo tamaño (y detectar errores relacionados con la existencia de un número de caracteres mayor o menor del que corresponde).

Para calcular los valores HASH de los ficheros existen diversas herramientas. En sistemas Windows, una de las recomendables por su sencillez es Hashtab disponible originalmente en la web Implbits.

Tras instalar el software, se crea una opción de menú contextual en el Explorador de Windows, de modo que, si pulsamos sobre un fichero con el botón derecho del ratón y a continuación sobre la opción «Propiedades» (la opción que queda abajo del todo) se abre una ventana que contiene una pestaña para los valores hash del documento («Hash de Archivos»).

A continuación se pulsa en la pestaña de la zona superior «Hash de Archivos» y se pueden ver los valores hash del fichero por tipo de algoritmo.

Si se pulsa sobre el enlace «Parámetros» (hacia la mitad de la ventana) se pueden elegir los tipos de hash que se desea que muestre la herramienta.

Este tipo de firmas indirectas puede considerarse similar a las denominadas «separadas» o «acompañantes» («detached» en inglés) ya que los propios documentos no se modifican para incluir las firmas (como en las firmas «attached enveloped») ni se crean estructuras contenedoras de la firma y del documento (como en las firmas «attached enveloping»)

Qualified key protection device

Deja un comentario

Since 2014, when the EIDAS, regulation was approved, we have been calling chip cards, cryptographic tokens, and HSMs (Hardware Security Module) «Qualified Signature Creation Device».

If we go back to Directive 93/1999, the name would be «Secure Signature Creation Device«.

But this is a mistake.

Qualified certificates (like other certificate types) have a field called «Key Usage» and this field indicates whether the certificate will be used for «electronic signature» (ContentCommitment) or for «authentication» (DigitalSignature), e.g. with the client authentication option of the TLS protocol.

Other uses are possible and could even be combined by activating these two, «ContentCommitment» and «DigitalSignature» simultaneously.

From the point of view of the scope of the regulation, neither the Directive 93/1999, nor the Regulation 910/2014, have expressly defined the possibility of authenticating the holder of qualified certificates. But this possibility has always been there. Although only electronic signatures (and, from the EIDAS Regulation onwards, electronic seals) have been considered, certificates that include the «DigitalSignature» bit in the «Key Usage» field are authentication certificates.

This is what was stated in the technical standard ETSI TS 102 280 and is currently stated in the technical standard ETSI EN 319 412-2.

So, if we conclude that certificates can be for authentication, and not just electronic signature, the fact that they reside on the same secure private key protection device for both uses should determine that the device should be referred to as a «Qualified Key Protection Device» and not as a «Qualified Signature Creation Device«.

By the way, I also think that the «Key Usage» bits should have different names. There was already a breakthrough when the name «Non-repudiation» became obsolete in various technical standards and was replaced by «Content Commitment», which actually means «signature» because in the signature the signatory is linked to the signed content. But the old name «Digital Signature» still persists because it technically justifies that in a challenge-response protocol, the response is calculated by performing the cryptographic operation of the digital signature on the challenge. But, in reality, this is an Authentication process and calling it a «Digital Signature» is misleading to experts and laymen alike.

The proper terms are sure «Signature» (instead of «Content Commitment») and «Authentication» (instead of «Digital Signature»), but it may be years before we see these terms in technical standards or legal rules.

Adobe actualiza su lista de confianza y sigue incluyendo la EUTL

Deja un comentario

Adobe desempeña un papel esencial en la popularización de la firma electrónica que hay que reconocer.

Por un lado, su herramienta gratuita de visualización de archivos PDF Acrobat Reader incluye sin coste una herramienta de creación de firmas electrónicas basada en certificados (entre los que destacan los certificados cualificados tal como los define el Reglamento UE 910/2014, eIdAS ).

Por otro lado, ha apostado desde la entrada en vigor del citado reglamento por incluir en la lista de confianza de sus productos (antiguamente denominada AATL) las entidades prestadoras de servicios de confianza que figuran en la lista de confianza de la unión europea (EUTL) que se puede recorrer con detalle gracias al Visualizador de Listas,

Esta combinación es importante para impulsar el uso de la firma electrónica en una herramienta que se caracteriza por la efectividad al cumplir su misión de mostrar los documentos electrónicos de forma muy parecida a los documentos en papel y establecer una potente metáfora del uso electrónico de los documentos manteniendo muchas de las ventajas de los documentos en papel, y algunas complementarias , como las informaciones adicionales que se guardan en los metadatos.

La lista actualizada de los entidades de confianza para Adobe obtenida de la EUTL puede verse en este artículo: ¿Qué es EUTL?

Y la lista concreta de los prestadores de servicios de certificación cualificados españoles (un subconjunto de la lista anterior), es esta:

Proveedor de servicios de confianzaCertificados cualificados de firmaCertificados cualificados de selloSellos de tiempo cualificados
Abogacía Española Consejo General
Agencia de Tecnología y Certificación
ANCERT – Agencia Notarial de Certificación
ANF Autoridad de Certificación
Bewor Tech
Camerfirma
COLORIURIS, S.L
Consorci AOC (CATCert)
DIGITEL TS
Dirección General de la Policía
Documento
EADTrust
ECERTIC
EDICOM
Identificación electrónica
Entrust Datacard
esFirma
Evicertia
Firmaprofesional
FNMT-RCM CERES
IVNOSYS
Izenpe
Logalty
Ministerio de Defensa de España
Ministerio de Empleo y Seguridad Social
Organización Médica Colegial
REGISTRADORES DE ESPAÑA
SECTIGO
Seguridad Social
Signaturit
Signe
Sistemas Informáticos Abiertos (SIA)
UANATACA
Validated ID
VIAFIRMA
vinCAsign

Certified Digitization, what is it and what is it for?

Deja un comentario

Certified Digitization, Certified Digitisation Certified scanning, Electronic Invoice, Electronic Signature, Electronic Certificate. EIDAS, All these concepts are related.

In the development of electronic invoicing regulations, Spanish ORDER EHA / 962/2007, of April 10, which develops certain provisions on electronic billing and electronic storage of invoices, has defined in Spain the concept of Certified Digitization. This blog has been a pioneer in dealing with Certified Digitization since 2006.

Also in english, with some posts:

The homologation procedure has been included in the resolution of October 24, 2007, of the State Tax Administration Agency, on the procedure for homologation of digitization software contemplated in Order EHA / 962/2007, of April 10, 2007 .

In a strict sense, certified digitization was defined for the procedures of the tax field, which would be outside the coverage of Law 39/2015 (eGovernment). However, the implementation of the concept and the large number of available applications make it a de facto standard , also for the public sector.

Certified digitisation is the process of converting paper documents into electronic documents that contain their facsimile reproduction and are electronically signed or sealed. The systems that manage the digitisation must meet certain criteria of integrity and unalterability in the database with which the digitisation is carried out and are required to be audited. The documents digitised with this type of system have the character of originals, so that the paper documents from which they originate can be dispensed with, which is why the legal value of these processes and of the documents to which they give rise is very relevant

Certified digitisation of invoices has led to the birth of the concept that is now also used in relation to public administrations and the digitisation of Justice.

For the certified digitisation of invoices, you can use the different variants of software approved by the Tax Agency that the AEAT also publishes on its website. The provincial councils of Navarre, Biscay, Alava and Guipuzcoa have also published equivalent regulations and have approval procedures similar to those of the Spanish National Tax Agency and have their own lists of approved software.

Electronic signature

Electronic signature is regulated in the EU Regulation 910/2014, which is abbreviated as “EIDAS”.

Advanced electronic signature is uniquely linked to the signatory; allows the identification of the signatory; It is created using electronic signature creation data that the signatory can, with a high level of confidence, use under his sole control; and is llinked to the data signed therewith in such a way that any subsequent change in the data is detectable.

In summary, the advanced signature links the signatory with what was signed.

What is signed many times is condensed in the “Hash” value of the document, which is also a way to guarantee the integrity of the signed document after the advanced signature has been carried out. And the signer can be associated in various ways, with biometrics in the case of non-certificate-based signatures, or with the mathematical operation of the hash with the signer’s private key if a certificate-based signature is applied.

Certificate-based signing uses public key cryptography, also called asymmetric cryptography.

In asymmetric cryptography there are 2 keys that are mathematically linked to each other:

1. Private Key
2. Public Key

What is encrypted with the private key can only be decrypted with the public key, and vice versa.

Hash functions are unidirectional and generate a short string of characters from a document or a long string of characters.

A possible simile would be a sum value: if we transform each character in a string into a number (for example, its ASCII value) and add the values ​​of all the characters in the string, the resulting value depends on the content of the string. IF you change a character, the sum changes. The algorithms used in cryptography are more elaborate so that modifications to the strings that result in the same hash value cannot be made, which will allow the contents to be changed. Therefore, the sum value, although it serves to explain the hash, is not in itself a good hashing method.

Given a document and its «hash», it is possible to check if the hash truly corresponds to that document. However, from the hash it is not possible to deduce the document from which it came. There could be infinities. When two different documents produce the same hash value when calculating with a certain algorithm, a «collision» is said to have occurred.

How does an electronic signature work?

The document to be signed is hashed with a specific algorithm (for example, SHA-256) and the result obtained is mathematically operated with an asymmetric signature function (for example, RSA or ECC) with the private key of the signer (normally the private key resides in a chip card or a cryptographic token, and does not leave it, so the hash is sent to the chip and it is the chip that performs the cryptographic operation). The signature is made up of the result of that operation on the chip (which is sometimes called a PKCS # 1 value), and the signer’s certificate containing their data and the public key cryptographically related to the private one.

If the document and the signature are sent to the recipient (sometimes, the document format used allows the signature to be embedded inside, as is the case with PDF files). It can do the equivalent process in reverse to verify the signature.

Extracts the public key from the certificate, thereby applying the cryptographic function to the PKCS # 1 value from which the Hash value is extracted. Calculates the Hash value of the document and compares it with the value obtained from decrypting the PKCS # 1 signature. Both must be the same. If they are not the same there is a problem somewhere. For example, the document has changed in transmission or has been tampered with.

Therefore, an important effect of the electronic signature is that it guarantees the integrity and inalterability of the electronically signed documents.

The certificate used to sign is issued by a “certification authority” or a “trust service provider”. The issuance of electronic certificates is one of the possible trust services ”and, therefore, a“ certification authority ”is a“ trust service provider entity.

These entities verify the identity of the certificate applicants and after that they issue them an electronic certificate associating the public key of the certificate with a private key that must be secretly guarded by the certificate holder with maximum security.

The Electronic Certificate

The electronic certificates of a natural or legal person are electronic documents that contain information about the issuer, the period of validity of the certificate, the identity of the signer, …

The important thing is that this certificate links the public key with the identity of a specific person and that it is signed by the certification body, which has verified the applicant’s identity documents and their correspondence with the applicant’s characteristics. When the certificate is issued, its link with the private key is also established under the exclusive control of the signer.

Although unqualified certification authorities can issue certificates, in Europe qualified certification bodies, which issue qualified certificates, are preferred .

In Spain there are a significant number of qualified certificate issuing entities , among which we can mention Camerfirma, EADTrust, FNMT (CERES), Ivnosys or Vintegris.

In certain signature modalities (such as AdES – T or long-lived signatures) it is convenient to include information about the moment when the signature was created, which it does by adding a time stamp. Time stamps are issued by the Time Stamp Authority (TSA).

The timestamp shows that a certain combination of data existed before a given time and that none of this data has been modified since then.

In short, for the certified digitization of documents, an electronic certificate is needed with which to make the electronic signature on each of the scanned documents.

This requirement and the guarantee of integrity of the database in which the keeping of the invoice digitization process is managed are the most relevant to pass the audit that allows requesting the approval of the software from the AEAT.

Certified Digitization in the field of Justice.

Within the framework of the Lexnet regulations, the GIS for Certified Digitization has been defined by the CTEAJE (State Technical Committee of the Electronic Judicial Administration).

This standard allows any document to be digitized for presentation in legal proceedings, so it has a special value:

  • It is used in the private sector to digitize any document, not just invoices
  • It allows you to have digitized documents in case they are needed at any given time for a trial. This used to be the main reason for keeping paper documents: in case they were needed in court.

The requirements for certified digitization in the field of justice are very similar to those required in the tax field:

  • Electronic signature of scanned documents
  • Protection of the integrity and inalterability of the digitization record database

How do I start a certified digitization process?

To carry out the certified digitization of invoices in a company, it is necessary to have a software approved by the AEAT or by any of the foral estates of Alava, Guipuzcoa, Navarra or Vizcaya.

In order for the software to be able to carry out an electronic signature on each scanned invoice, it must be equipped with a qualified certificate. The current trend is to equip the software with a qualified legal entity certificate, in which case the resulting electronic signatures are called “qualified electronic seals” if they are managed in a device called “Qualified Seal Creation Device” (equipment that is also called HSM «Hardware Security Module»).

It is possible to carry out “certified digitization” or “guaranteed digitization” processes in the context of public administration, for which several of the Technical Interoperability Standards apply . In particular, that of authentic copy, that of digitization, that of signature policy and that of electronic document.

The ValidE portal provides some tools to validate electronic signatures and certificates. The EADTrust DSS tool also provides a lot of information about the certificates and signatures of electronic documents, whether or not they are the result of certified digitization.

Perhaps someone asked this question: is it necessary to start from the printed invoice document to be able to scan it in a certified digitization process or can an invoice received in pdf format be electronically signed?

The answer is given by ORDER EHA / 962/2007, of April 10, which develops certain provisions on telematic invoicing and electronic conservation of invoices in the different articles of which it consists.

Certified scanning can only be done from paper documents.

However, considering that the issuer and receiver can reach an agreement that the issuer of the invoice acts by sending “pre-invoices” in PDF format to the receiver and that the receiver converts them into electronic self-invoices by adding the electronic signature, the fundamental requirement of the electronic invoice, which is your electronic signature. The regulations allow invoices to be managed by the recipient (self-invoice) or a third party on behalf of the invoice issuer, who is usually the one who adds the electronic signatures or electronic stamps.

What to do if the device containing the electronic certificate is lost or stolen

In case of loss or theft of the device in which the private key associated with the electronic certificate is housed, it is necessary to request the revocation of the certificate by going to a Registration Authority of the Certification Authority that issued the certificate. Some certification authorities offer the possibility of remote revocation, using codes that were provided at the time the certificate was issued.

For example, EADTrust has a specific page and a form to request the revocation of the certificate .

Outsourcing of certified digitization processes

When a process is not focused on the core business of a company but can pose a significant administrative burden due to its volume, many entities resort to business process outsourcing (BPO).

A Certified Digitization service performed by third parties or a Remote Electronic Seal service managed by a qualified digital trust service provider can help in these cases.

Article 7 of Order EHA / 962/2007 indicates:

«This digitization process must meet the following requirements:

a) That the digitization process be carried out by the taxpayer himself or by a third party provider of digitization services , in the name and on his behalf, using in both cases software of certified digitization (…)
b) That the digitization process used guarantees the obtaining of a faithful and complete image of each digitized document and that this digital image is signed with an electronic signature in the terms of the previous articles of this Order based on an electronic certificate installed in the scanning system and invoked by the certified scanning software.This certificate must correspond to the taxpayer when the certified digitization is carried out by himself or to the digitization service provider in another case. «

Advantages of Certified Digitisation

These are some of the advantages of Certified Digitisation:

  • Saving time in the search for documents, since, as they are documents in electronic format, searches can be generated by keywords.
  • Increase the efficiency and productivity of employees by saving time in filing and searching invoicess, reducing errors.
  • Frequently digitization allows incorporating the information of the invoices in the accounting or ERP system.
  • By having digital documents managed by computer software and stored in a secure repository, decision-making is streamlined by being certain that all the information is available.
  • Saves storage space by not having to guard paper documents and saves other costs related to archival material
  • It facilitates the adoption of repetitive procedures with the environment and, indirectly, helps to pass a possible ISO 14.001 type audit

Give us a call

You can contact EADTrust by calling +34 917 160 555 if you need help to homologate a certified digitization software to be approved by Spanish Tax Agency or if you need electronic certificates to be used in Spain or Europe.

Los certificados DSC de España con los que se firman los pasaportes COVID

3 respuestas

Algunos paises europeos han publicado la información de los certificados electrónicos ECC (y unos pocos RSA) con los que se firman los pasaportes COVID (oficialmente «Certificados Digitales COVID» y anteriormente «Certificados verdes digitales»). Estos certificados se denominan DSC (Document Signing Certificate). Ya lo mencioné en el artículo «Public Key of Spain CSCA for European digital COVID certificate«.

Uno de los países que publican la información de dichos certificados electrónicos es Suecia, que hace referencia a los certificados incluidos en la pasarela de validación de confianza de pasaportes COVID (Técnicamente «Digital Green Certificate Gateway» DGCG).

En España, todos los certificados menos uno los ha expedido EADTrust (European Agency of Digital Trust), por lo que la Sub-CA de certificados de curva elíptica P-256 para sello de órgano de EADTrust se ha convertido en la principal CSCA (Certificate Signing Certificate Authority de España. Otra singularidad del sistema adoptado en España es que los DSC emitidos por EADTrust son, además, certificados cualificados de sello de órgano según el Reglamento EIDAS.

Estos son los datos principales de certificados de CSCA y DSC de España:

Country: ES
TypeNameContactPurpose
CSCA CertificateOU=Legal Person, OID.2.5.4.97=VATES-B85626240, C=ES, O=»European Agency of Digital Trust, S.L.», CN=EADTrust ECC 256 SubCA For Qualified Certificates 2019ca@eadtrust.eu
CSCA CertificateCN=iCA Izenpe, OU=Peer, O=IZENPE S.A., C=ES
Document SignerC=ES, O=SERVICIO DE SALUD DE LAS ISLAS BALEARES, OID.2.5.4.97=VATES-Q0719003F, OU=SELLO ELECTRONICO, SERIALNUMBER=Q0719003F, CN=IBSALUT-CVD-SELLO1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Extremeño de Salud, OID.2.5.4.97=VATES-Q0600413I, OU=SSII, OU=SELLO ELECTRONICO, SERIALNUMBER=Q0600413I, CN=Servicio Extremeño de Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GERENCIA REGIONAL DE SALUD DE CASTILLA Y LEON, OID.2.5.4.97=VATES- Q4700608E, OU=GERENCIA REGIONAL DE SALUD DE CASTILLA Y LEON, OU=SELLO ELECTRONICO, SERIALNUMBER=Q4700608E, CN=GERENCIA REGIONAL DE SALUD CASTILLA Y LEÓN (SACYL)1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=»DIRECCION GENERAL DE SALUD PUBLICA, CONSUMO Y CUIDADOS», OID.2.5.4.97=VATES-S2633001I, OU=»DIRECCIÓN GENERAL DE SALUD PUBLICA, CONSUMO Y CUIDADOS», OU=SELLO ELECTRONICO, SERIALNUMBER=S2633001I, CN=Gobierno de La Rioja1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Canario de la Salud, OID.2.5.4.97=VATES-Q8555011I, OU=Secretaría General del Servicio Canario de la Salud, OU=SELLO ELECTRONICO, SERIALNUMBER=Q8555011I, CN=Secretaría General del Servicio Canario de la Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=CIUDAD AUTÓNOMA DE MELILLA, OID.2.5.4.97=VATES-S7900010E, OU=DIRECCIÓN GENERAL DE LA SOCIEDAD DE LA INFORMACIÓN, OU=SELLO ELECTRONICO, SERIALNUMBER=S7900010E, CN=SELLO ELECTRONICO DE LA CIUDAD AUTÓNOMA DE MELILLA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=SERVICIO ANDALUZ DE SALUD, OID.2.5.4.97=VATES-Q9150013B, OU=SERVICIO ANDALUZ DE SALUD, OU=SELLO ELECTRONICO, SERIALNUMBER=Q9150013B, CN=SELLO SAS PARA CERTIFICADO COVID DE LA UE1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerCN=DIRECCIÓN DE SALUD PÚBLICA Y ADICCIONES, OID.2.5.4.97=VATES-S4833001C, OU=SELLO ELECTRONICO, O=EUSKO JAURLARITZA – GOBIERNO VASCO, C=ES1.3.6.1.5.5.7.3.2
Document SignerC=ES, O=Servicio Cántabro de Salud, OID.2.5.4.97=VATES-Q3900738J, OU=SELLO ELECTRONICO, SERIALNUMBER=Q3900738J, CN=Servicio Cántabro de Salud1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio de Salud de Castilla-La Mancha, OID.2.5.4.97=VATES- Q4500146H, OU=SELLO ELECTRONICO, SERIALNUMBER=Q4500146H, CN=SESCAM Certificado Digital COVID UE1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Ministerio de Defensa, OID.2.5.4.97=VATES-S2830001J, OU=Inspección General de Sanidad de la Defensa, OU=SELLO ELECTRONICO, SERIALNUMBER=S2830001J, CN=Inspección General de Sanidad de la Defensa1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Principado de Asturias, OID.2.5.4.97=VATES- S3333001J, OU=SELLO ELECTRONICO, SERIALNUMBER=S3333001J, CN=Consejería de Salud del Principado de Asturias1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Servicio Navarro de Salud-Osasunbidea, OID.2.5.4.97=VATES-Q3150004D, OU=Servicio Navarro de Salud-Osasunbidea, OU=SELLO ELECTRONICO, SERIALNUMBER=Q3150004D, CN=Sello Electrónico del Servicio Navarro de Salud-Osasunbidea1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=CIUDAD AUTONOMA DE CEUTA, OID.2.5.4.97=VATES-S6100007A, OU=CIUDAD AUTONOMA DE CEUTA, OU=SELLO ELECTRONICO, SERIALNUMBER=S6100007A, CN=CEUTA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GENERALITAT VALENCIANA, OID.2.5.4.97=VATES-S4611001A, OU=CONSELLERIA DE SANITAT UNIVERSAL I SALUT PÚBLICA, OU=SELLO ELECTRONICO, SERIALNUMBER=S4611001A, CN=GENERALITAT VALENCIANA1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Departament de Salut de la Generalitat de Catalunya, OID.2.5.4.97=VATES-S0811001G, OU=Departament de Salut, OU=SELLO ELECTRONICO, SERIALNUMBER=S0811001G, CN=CERT-GENCAT-1S-211.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=COMUNIDAD AUTONOMA DE LA REGION DE MURCIA, OID.2.5.4.97=VATES- S3011001l, OU=DIRECCION GENERAL INFORMATICA CORPORATIVA, OU=SELLO ELECTRONICO, SERIALNUMBER=S3011001l, CN=DIRECCIÓN GENERAL DE SALUD PÚBLICA Y ADICCIONES1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=MINISTERIO DE SANIDAD, OID.2.5.4.97=VATES-S2827001E, OU=SELLO MINISTERIO DE SANIDAD CERTIFICACION COVID19, OU=SELLO ELECTRONICO, SERIALNUMBER=S2827001E, CN=SELLO MINISTERIO DE SANIDAD CERTIFICACION COVID191.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=GOBIERNO DE ARAGON, OID.2.5.4.97=VATES-S5011001D, OU=DEPARTAMENTO DE SANIDAD, OU=SELLO ELECTRONICO, SERIALNUMBER=S5011001D, CN=DEPARTAMENTO DE SANIDAD DEL GOBIERNO DE ARAGON1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=SERVICIO MADRILEÑO DE SALUD, OID.2.5.4.97=VATES-Q2801221I, OU=DG SISTEMAS DE INFORMACION Y EQUIPAMIENTOS SANITARIOS, OU=SELLO ELECTRONICO, SERIALNUMBER=Q2801221I, CN=FIRMA CERTIFICADO COVID DIGITAL UE 11.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4
Document SignerC=ES, O=Consellería de Sanidad, OID.2.5.4.97=VATES-S1511001H, OU=SELLO ELECTRONICO, SERIALNUMBER=S1511001H, CN=ConselleriadeSanidade.XuntadeGalicia1.3.6.1.5.5.7.3.2, 1.3.6.1.5.5.7.3.4