Archivo de la categoría: FMDA

Prestadores de servicios de confianza no cualificados

1 respuesta

En relación con los Servicios de Confianza, en España rige la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, junto con el Reglamento 910/2014 (actualizado con el Reglamento 2024/1183).

En su preámbulo se menciona que

  • Todos los prestadores de servicios de confianza, cualificados y no cualificados, están sometidos a la obligación de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que prestan, así como de notificar al órgano de supervisión cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado.
  • Los prestadores de servicios no cualificados pueden prestar servicios sin verificación previa de cumplimiento de requisitos, sin perjuicio de su sujeción a las potestades de seguimiento y control posterior de la Administración. No obstante, deberán comunicar al órgano supervisor la prestación del servicio en el plazo de tres meses desde que inicien su actividad, a los meros efectos de conocer su existencia y posibilitar su supervisión

Y en su articulado:

Artículo 12. Inicio de la prestación de servicios electrónicos de confianza no cualificados.

Los prestadores de servicios de confianza no cualificados no necesitan verificación administrativa previa de cumplimiento de requisitos para iniciar su actividad, pero deberán comunicar su actividad al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de tres meses desde que la inicien, que publicará en su página web el listado de prestadores de servicios de confianza no cualificados en una lista diferente a la de los prestadores de servicios de confianza cualificados, con la descripción detallada y clara de las características propias y diferenciales de los prestadores cualificados y de los prestadores no cualificados.

En el mismo plazo deberán comunicar la modificación de los datos inicialmente transmitidos y el cese de su actividad.

Identificación de Prestadores

En la actualidad el Ministerio ya publica la información básica de los Prestadores de Servicios Electrónicos de Confianza No Cualificados como su Nombre/Razón Social, su CIF, el Nombre Comercial y el Dominio, si bien todavía no incorpora la descripción detallada y clara de las características propias y diferenciales.

De la citada página se extrae la siguiente lista de prestadores, respecto a lo que hay que considerar que algunos de ellos son también Prestadores Cualificados de Servicios de Confianza y no queda claro qué servicios no cualificados de los que prestan hace recomendable su inclusión en este listado.

  • 360nrs
  • 3G Mobile Group (Foldersign)
  • Addalia
  • Agencia de Tecnología y Certificación Electrónica – ACCV
  • ANF AC
  • Aplicaciones Inmovilla SLU
  • Aralink Wallet Id
  • Aviva Voice
  • Banco de España
  • Bianca Schulte Gutiérrez
  • Bigle Legal
  • Bounsel
  • BTP Onetec
  • Camerfirma
  • Cedro
  • CEREC Fábrica Nacional De Moneda Y Timbre – Real Casa De La Moneda E.P.E – M.P. (FNMT-RCM)
  • Certificacion De Envios ICPM
  • Certifirm
  • CGI Information Systems and Management Consultants España S.A
  • Codicert
  • Colegio Oficial de Arquitectos de Sevilla
  • Confirmsign, S.L.
  • Consorci AOC (Catcert)
  • Constata EU
  • Customer Comms
  • Digitaldocu Digitel TS
  • Dirección General de Política Digital – Consejería de Hacienda y Adm. Pública – Junta de Andalucía
  • Docalia
  • Docuten
  • Doyfe
  • EADTrust
  • ECS TSA
  • Edatalia
  • Edicom
  • Edigitaltrust
  • Eevidence
  • Efirma Go
  • Egarante
  • Elix Regtech
  • Factorymail
  • Factum Id
  • Fidestamp
  • Fikrea
  • Fingerink
  • Finveris
  • Firma Documentos
  • Firma365
  • Firmafy
  • Firmaprofesional, S.A.
  • Full Certificate – Wevote – Full Signature
  • Gohu TPA
  • Grupo Backup
  • Ianet Conecta S.L.
  • Icommunity
  • Idealista
  • IESA
  • Ilovepdf
  • Isigma
  • Izenpe, S.A.
  • Legal Intermedia «Verum Digital»
  • Legalbono
  • Legalpin
  • Leypal
  • Lleida.Net
  • Lleidanet Pki
  • Logalty Servicios de Tercero de Confianza S.L.
  • Mailsuite
  • Mailteck
  • Mensagia
  • Mensatek
  • Metaposta
  • Ministerio de Asuntos Económicos y Transformación Digital
  • Ministerio de Defensa de España
  • Nivimu
  • Nodalblock
  • Notificad@S
  • On Diversity Limited España
  • Pipeline Software
  • Punto Neutro
  • R2 Docuo
  • RD Post
  • Registradores De España
  • Rubricae
  • Salvador Portillo Naranjo
  • Sectigo
  • Segursign
  • Seres
  • SGNTJ / GGTDAL
  • Signaturit
  • Signaturit- Ivnosys
  • Signe Autoridad De Certificación
  • Signicat Spain
  • Signyourdocs
  • Sihecert, S.L
  • Sinatura
  • Smartbiometrik
  • Softy
  • Spairal Commerce
  • Tecalis
  • Teenvio
  • Terraminium
  • Uanataca
  • Validated Id
  • Vintegris
  • Wiwink
  • Zertiban
  • Zertifika Outsourcing

Me ha parecido interesante publicar información más detallada de las entidades que así lo deseen.

Por ejemplo algunos servicios no cualificados de EADTrust:

Si desea que incluya información adicional de alguno de los prestadores de servicios de confianza no cualificados, contacte conmigo a través de este mail. También si detecta algún error en la denominación.

Ponga al principio del asunto [PSCNC] para facilitar la búsqueda.

SI puede incluir en alguna parte del correo electrónico el texto exacto a incluir es preferible (incluyendo los enlaces), porque así puedo copiar y pegar el texto sin más. También puede incluir un logo si lo desea.

EADTrust, la entidad líder en Digital Transaction Management (DTM)

Deja un comentario

El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.

Los componentes clave de un sistema DTM incluyen:

  1. Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
  2. Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
  3. Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
  4. Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
  5. Autenticación digital: Verificando la identidad de los participantes en las transacciones.
  6. Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
  7. Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.

Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:

  1. Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
  2. Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
  3. Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
  4. Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
  5. Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
  6. Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras

Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.

En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies: 

Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

Laboratorio de Confianza Digital ICADE Garrigues

2 respuestas

La Universidad Pontificia Comillas y el despacho de abogados Garrigues, firmaron un convenio para crear el Observatorio ‘Legaltech’, Garrigues-ICADE.

El Observatorio, depende de la Facultad de Derecho (Comillas ICADE), a través del Centro de Innovación del Derecho (CID-ICADE).

En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).

Formando parte del Observatorio se han definido ya varios laboratorios:

Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.

Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.

Hemos creado un Enlace de invitación al Canal de Whatsapp del Laboratorio de Confianza Digital en el que comentaremos novedades y al que se pueden conectar las personas interesadas.

Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.

Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.

EADTrust se incorpora al Grupo Garrigues

Deja un comentario

Garrigues ha adquirido una participación del 51% en EAD Trust, compañía especializada en el desarrollo de productos y la prestación de servicios de confianza digital registrada como Prestador Cualificado de Servicios Electrónicos de Confianza en el Ministerio de Asuntos Económicos y Transformación Digital.

De este modo, el prestigioso despacho de abogados se posiciona en un mercado clave como es el de la confianza digital en el contexto del próximo reglamento eIDAS2 (Electronic IDentification, Authentication and Trust Services 2), una iniciativa de la Unión Europea para actualizar la normativa actual de servicios de confianza e identidad digital y conseguir un marco legal más adecuado a las necesidades de empresas y ciudadanos en una sociedad cada vez más conectada y digitalizada.

Con cerca de 15 años de historia, EAD Trust desarrolla servicios y productos digitales y proyectos a medida.

Su compromiso con la calidad y la innovación se refleja en su reconocimiento como Prestador Cualificado de Servicios Electrónicos de Confianza que opera en toda Europa, tras superar exigentes auditorías de cumplimiento, que se suman a sus certificaciones ISO 9001, ISO 27001, ISO 20000-1 y ENS de nivel medio.

La compañía emite certificados cualificados de persona física y jurídica, sellos de tiempo cualificados y certificados cualificados de sitio web, además de dar soporte a sellos y firmas electrónicas cualificadas en la nube y prestar servicios de contratación online y de interposición en las comunicaciones.

La labor de los proveedores de servicios de confianza como EAD Trust cobrará mayor relevancia con la próxima entrada en vigor del nuevo reglamento europeo –previsiblemente, este año–, que redefinirá el mercado. De hecho, este cambio regulatorio supondrá un desarrollo clave de la cartera europea de identidad digital IDUE (EUID Wallet), en la que EAD Trust está trabajando activamente. 

La entrada de Garrigues en su capital supone un reenfoque estratégico para EAD Trust, que se reflejará en los próximos meses en el lanzamiento de nuevos productos y servicios para fortalecer su posicionamiento en el mercado de la confianza digital tanto en España como en el resto de los países en los que está presente el despacho.

La amplia experiencia en economía digital de Garrigues y su visión regulatoria desde todas las perspectivas del derecho de los negocios constituyen una garantía de seguridad jurídica para los nuevos productos y servicios.

Fernando Vives, presidente ejecutivo de Garrigues, destaca que “la economía digital experimenta un crecimiento sin precedentes, lo que conlleva la necesidad de asegurar la seguridad jurídica en cada transacción digital. La inversión en EAD Trust constituye un paso muy relevante en la estrategia del despacho para desarrollar y habilitar infraestructuras digitales legales en los próximos años. Confiamos en que, de la mano de EAD Trust, seremos capaces de brindar soluciones innovadoras y seguras a nuestros clientes, fortaleciendo así la confianza en las transacciones digitales”.

Julián Inza, presidente de EAD Trust, explica que “nuestra misión es impulsar la sociedad del futuro con ideas, productos y servicios capaces de minimizar aquellas transacciones que mantienen el uso de papel por si fuera necesario su valor probatorio, dado que ya es posible generar, custodiar y presentar evidencias digitales de cualquier actividad o relación con las que dar respuesta técnica a todas las necesidades jurídicas. Estamos en un mundo que necesita pasar de un paradigma físico a otro digital y es preciso garantizar la aplicabilidad de las herramientas de seguridad jurídica en ambos. Con el apoyo de Garrigues, estamos listos para pasar al siguiente nivel”. 

Algunos puntos de interés:

  • Registrada como Prestador Cualificado de Servicios Electrónicos de Confianza por el Ministerio de Asuntos Económicos y Transformación Digital, EAD Trust es una compañía especializada en el desarrollo de productos digitales y proyectos a medida, con énfasis en su validez legal
  • Como resultado de esta alianza, en los próximos meses tendrá lugar el lanzamiento de nuevos productos y servicios relacionados con la confianza digital en el contexto del próximo reglamento europeo sobre identidad digital, eIDAS2
  • Formar parte del Grupo Garrigues representa un enorme potencial para difundir las herramientas que permiten la Transformación DIgital de la Sociedad, sin merma del valor probatorio

Digital por diseño

Deja un comentario

Va llegando el momento de abandonar el término «transformación digital» que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las «piezas de lego» que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos «en la nube», los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el «soporte duradero» o la «simetría probatoria» (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con «nodos eIDAS» como el español que se instancia a través del sistema «Cl@ve«.

 

Formación y certificación de auditores #EIDAS

4 respuestas

TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Plataformas certificadas de firma digitalizada

Deja un comentario

A lo largo de los últimos años, EADTrust ha evaluado diversas plataformas para la gestión de firmas manuscritas digitalizadas con tecnologías que permiten que se las encuadre entre las firmas electrónicas avanzadas que define el reglamento europeo UE 910/2014 (EIDAS).

Estas firmas, por la forma en que conservan la información biométrica de las firmas manuscritas permiten su cotejo por los peritos calígrafos en caso de que su autenticidad se haya de dilucidar en juicio o en otro contexto de resolución de controversias. Admiten, por tanto, un modelo que permite definir las firmas indubitadas y las controvertidas para su análisis y comparación.

Se benefician por tanto de una cualidad que el Reglamento EIDAS atribuye a las firmas electrónicas cualificadas: su equivalencia con las firmas manuscritas, porque son firmas manuscritas.

logo-sello_fmda-platform_peq

 Además, como la mayor parte de las firmas manuscritas, tienen la propiedad de la inmediación (están hechas por la mano del firmante sin que intermedie un dispositivo técnico o mecánico) de la que carecen las firmas electrónicas realizadas con certificados digitales, inclusive las firmas electrónicas cualificadas.

EADTrust ha definido un distintivo específico para identificar a las soluciones auditadas con características de plataforma, y que se diferencia del distintivo otorgado a las entidades que adoptan la tecnología y la integran con sus sistemas para recoger firmas que forman parte de sus flujos de negocio (este tipo de entidades se denominan “promotoras” en el contexto de los sistemas de FMDA impulsados por EADTrust)  .

Las plataformas deben permitir cumplir los 10 principios generales definidos por EADTrust, pero algunos de tales principios suponen retos de cumplimiento especialmente orientados hacia las entidades promotoras, que adoptan las plataformas para captar las firmas de sus clientes o potenciales clientes.

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD y al RGPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Acceso a información biométrica de una firma digitalizada

Deja un comentario

EADTrust y otros Prestadores de Servicios Electrónicos de Confianza Digital custodian claves privadas de diferentes plataformas de firma digitalizada, biométrica o grafométrica.

El hecho de que exista esta custodia implica que los responsables de las plataformas adoptan medidas para garantizar que la información biométrica se incluye en los documentos electrónicos firmados de forma cifrada (con la clave pública asociada a la clave privada custodiada) y que no está libremente disponible para la entidad que hace uso de la plataforma, y, por tanto, no puede utilizarla para asociarla a otros documentos.

De esta forma, tanto la entidad promotora del sistema de firma digitalizada que hace uso de la plataforma como los propios firmantes están en igualdad de condiciones para ejercer el derecho a la prueba respecto a si una firma en concreto pertenece o no a una persona (esa igualdad de condiciones se denomina, a veces, “simetría probatoria”).

Para realizar el proceso de comprobación de una firma digitalizada se suele recurrir a un proceso de análisis pericial caligráfico (u otro tipo de estudio pericial asistido por software de análisis biométrico de uso forense), para lo que será necesario identificar peritos y expertos que puedan realizar el análisis.

El proceso se inicia a partir del archivo PDF que debe tener a su alcance cualquiera de las partes intervinientes en el contrato y que incluye la firma controvertida, por lo que este debe estar localizable para la entidad y para el firmante.

En caso de que el cliente de una entidad que haya firmado en Tablet no posea el fichero digital con su firma, y lo requiera, será preciso identificar las personas de Compliance o de gestión de LOPD (o RGPD) o seguridad informática en la entidad que tienen identificado el caso y el archivo o archivos cuya firma es controvertida, y solicitar el fichero por los cauces previstos (por ejemplo contactando con la entidad para ejercer el derecho de «Acceso» reconocido por la LOPD).

Una vez que se dispone del documento PDF que incluye la firma biométrica, cualquiera de las partes puede llevar a cabo los siguientes pasos:

  • Preparar un mandato o poder de una persona que desea realizar la comprobación nombrando al perito para que pueda acudir al Prestador de Servicios Electrónicos de Confianza que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) en nombre del solicitante.
  • Hacer copia del poder o mandato y del DNI de apoderado o mandatario
  • Preparar un escrito en formato carta que describa brevemente el problema y solicite la intervención de la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) incluyendo los datos de identificación de la persona que contactará con ella. Normalmente la firma el apoderado.
  • Quien acude a la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) lo suele hacer presencialmente o por un procedimiento acordado, de gestión telemática.
  • Conviene cerciorarse de que la entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) tiene la ultima versión del software aportado por los desarrolladores de la plataforma para descifrar la información biométrica a partir del documento PDF.
  • La entidad que custodia las claves privadas (EADTrust o el PSEC que se haya definido en cada caso) nunca hace entrega de las claves. Hace uso de la clave para descifrar el documento y extraer la información biométrica de la firma que entrega al solicitante, pero las claves privadas no salen de su custodia.

Con la información biométrica extraída, son necesarias, para el cotejo las firmas indubitadas, para lo que debe colaborar la persona cuya identidad se vincula al documento.

Si se va a plantear la prueba en un litigio, se describe la solicitud de la prueba pericial en el escrito de demanda o de contestación, para que en su momento, se realicen las firmas indubitadas en presencia del Letrado de la Administración de Justicia que competa.

Si se desea realizar el cotejo de firmas con ayuda del perito, pero sin llegar a juicio, se precisa contactar con el cliente para que realice varias firmas (5 o 10, las que el perito recomiende) en una tableta digitalizadora semejante a la utilizada originalmente para firmar, con el apoyo del software de uso pericial.

Es posible contactar con EADTrust, a través del teléfono +34 91 7160555 (o 902 365 612) desde España) donde pueden orientarle de forma más precisa según la entidad que haya gestionado la custodia para los documentos PDF de su interés.