Archivo de la categoría: Identidad Digital

SPID – Sistema Publico de Identidad Digital

3 respuestas

En Italia, el sistema equivalente al español «Cl@ve» se denomina SPID (Sistema Pubblico di Identità Digital).

logo-spidEs una plataforma que gestiona la identidad digital  del ciudadano y le permite acceder a todos los servicios en línea de la Administración Pública con una única gestión de credenciales (nombre de usuario y contraseña) y que se puede utilizar en ordenadores, tabletas y teléfonos inteligentes.

Cuenta con 3 niveles de certeza respecto a la identidad, de menor a mayor:

  1. permite el acceso a servicios en línea a través de un nombre de usuario y contraseña elegidos por el usuario
  2. dedicada a los servicios que requieren un mayor grado de seguridad, ya que exige la generación de un código de acceso temporal (OTP, One Time Password), accesible a través de un dispositivo (por ejemplo, teléfonos inteligentes mediante APP o SMS, o tokens OTP) adicionalmente al uso de un nombre de usuario y una contraseña elegidos por el usuario
  3. proporciona el uso de soluciones de seguridad adicionales y dispositivos físicos (por ejemplo, tarjetas inteligentes) proporcionados por el prestador de servicios de gestión de identidad

Con la notificación del Sistema Público de Identidad Digital (SPID) italiano a la Comisión Europea, finaliza el camino establecido por la normativa comunitaria eIDAS, para el reconocimiento de la identidad digital como instrumento de acceso a los servicios digitales de las administraciones públicas de los demás Estados miembros.

La notificación se envió tras el proceso de revisión inter-pares, que comenzó el 24 de noviembre de 2017 y finalizó el 11 de julio de 2018, durante la reunión de la red de cooperación en la  Dirección General de Redes de Comunicación, Contenido y Tecnología de la Comisión (DG Connect), con la opinión favorable de todos los Estados miembros.

Italia, después de Alemania, es el segundo país europeo que ha completado el proceso para el reconocimiento mutuo de su sistema nacional de identidad digital y el primero en notificar un sistema que gestiona la identidad basado en la verificación de identidad realizado por entidades privadas. El resto de países han notificado hasta la fecha solo tarjetas de identidad del ciudadano, como el caso de España con el DNI electrónico.

En el momento actual la lista de prestadores (Proveedores de Identidad Acreditados) que colaboran en la verificación de la identidad de SPID son los siguientes:

Impresa IdP Documentazione Metadata
Aruba Pec S.p.A.
In.Te.S.A. S.p.A.
InfoCert S.p.A
Lepida S.p.A.
Namirial S.p.A.
Poste Italiane S.p.A.
REGISTER.IT S.p.A.
Sielte S.p.A.
TI Trust Technologies S.r.l.

Sistemas de identificación digital de otros países utilizables en España

2 respuestas

Hace tres meses expliqué los pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa que están dando los países europeos, en el marco del Reglamento UE No 910/2014 (EIDAS), y que prevé el calendario de adopción siguiente:

eIDAS_timeline

Básicamente se trataba de difundir los sistemas de identificación (tarjetas chip semejantes al DNIe) que diferentes países habían notificado o estaban en proceso de notificar  a la Unión Europea como primer paso para su admisión en el resto de países para trámites de administración electrónica.

Los sistemas de identificación electrónica que han sido notificados deben ser reconocidos por los servicios públicos en el plazo de 12 meses desde la fecha de su publicación en el Diario Oficial de la UE (o el 29 de Septiembre de 2018 si el plazo es anterior).

En estos momentos solo hay un país cuyo sistema de identificación esté en estado «notificado«, mientras que varios otros en estado «pre-notificado«.

País: Alemania
Nombre del sistema: Sistema alemán de identificación electrónica basado en el control de acceso ampliado
Medios eID del sistema notificado:
–> Documento Nacional de Identidad
–> Permiso de residencia electrónico
Nivel de seguridad: Alto
Fecha de publicación de la notificación: 26 Septiembre 2017
Fecha de obligatorio reconocimiento: 29 Septiembre 2018
Publicación: 2017/C 319/03(Abre en nueva ventana)

Además de los atributos obligatorios (Identificador, Nombre, Apellido y Fecha de nacimiento) este esquema podría enviar los siguientes atributos opcionales:

  • Lugar de nacimiento,
  • Nombre y apellido al nacer,
  • Dirección actual.

Por tanto ya es admisible en España el  Sistema alemán de identificación electrónica.

Hay, además, 7 países (Italia, España, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) que están en estado de «pre-notificado», es decir, han iniciado el proceso de notificación para que el resto de países puedan evaluar sus Sistemas de identificación electrónica.

Por lo que en breve los sistemas de identificación de 6 países (Italia, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) serán también admisibles en España.

Y en el mismo sentido, el DNI electrónico español será admisible en toda Europa

Desde la fecha de pre-notificación, deben pasar al menos 6 meses hasta que se efectúe la notificación.

Sistemas de identificación electrónica pre-notificados
País Nombre del Sistema Medios de eID del Sistema Atributos opcionales Fecha prenotificación
Italia SPID – Public System of Digital Identity. (Sistema Público de Identidad Digital) SPID Lugar de nacimiento, Dirección actual, Género 29 Nov 2017
España Documento Nacional de Identidad electrónico (DNIe) Documento Nacional de Identidad 20 Feb 2018
Luxemburgo Luxembourg national identity card (eID card). (Documento Nacional de Identidad de Luxemburgo) National Identity Card (Documento Nacional de Identidad) Lugar de nacimiento, Dirección actual, Género 26 Feb 2018
Estonia Estonian eID scheme (Esquema de eID de Estonia) ID card
RP card
Digi-ID
e-Residency Digi-ID
Mobiil-ID
Diplomatic identity card		 27 Feb 2018
Croacia National Identification and Authentication System (NIAS). (Sistema Nacional de identificación y autenticación) Croatian personal identity card (eOI) (Documento de identidad personal croata) Lugar de nacimiento, Dirección actual, Género 28 Feb 2018
Bélgica Belgian eID Scheme FAS / eCards (Esquema eID de Bélgica) National Electronic Identity Card (Citizen eCard) Electronic Resident Card (Foreigner eCard) (Documento Nacional de Identidad electrónico y documento electrónico de residente extranjero) Lugar de nacimiento, Género 28 May 2018
Portugal Cartão de Cidadão
(Documento del ciudadano)		 Portuguese national identity card (eID card)
(Documento Nacional de Identidad portugués)		 Dirección actual, Género 30 May 2018
Chave Móvel Digital
(Clave móvil digital )		 Digital Mobile Key
(Clave móvil digital)		 Dirección actual, Género
Sistema de Certificação de Atributos Profissionais
(Sistema de Certificación de Atributos Profesionales)		 Professional Attributes Certification System
(Sistema de Certificación de Atributos Profesionales)		 Dirección actual, Género

 

Este artículo se basa en la noticia publicada en el Portal de Administración Electrónica «Sistemas de identificación electrónica notificados«

Nuevo kit de Integración del sistema de gestión de identidad digital del estado «Cl@ve 2.0»

2 respuestas

En España, el Centro de Transferencia de Tecnología (CTT) es la concreción del mandato del artículo 17 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica.

El Centro de Transferencia de Tecnología se encuentra recogido en el artículo 158 de la ley 40/2015.

El Centro de Transferencia de Tecnología es el directorio general de aplicaciones para su reutilización en la Administración General del Estado e interopera con los directorios establecidos por otras Administraciones Públicas.

El CTT acaba de anunciar el despliegue en el entorno de Servicios Estables de la versión 2 de Cl@ve, que permite la conexión con el nodo eIDAS español para la identificación digital de ciudadanos de la Unión Europea.

La generalización de nodos eIDAS en Europa permite que cada país que lo despliega pueda admitir sistemas de identidad digital de otros países notificados a la Comisión Europea y también ayuda a que en otros países se admitan los sistemas de identidad digital del país que lo implanta.

El nodo eIDAS español es uno de los que permiten el reconocimiento mutuo de identidades electrónicas en Europa.

El español facilita la aceptación del DNI electrónico en servicios de Administración Electrónica de otras administraciones europeas así como la identificación de ciudadanos europeos en servicios públicos españoles utilizando un medio de identificación de su país de origen.

Este nodo es el componente de interoperabilidad que se conecta con los servicios electrónicos y los sistemas de identificación nacionales, y con los nodos correspondientes de otros Estados miembros, y permite el reconocimiento de identidades electrónicas emitidas por otros países de acuerdo con el Reglamento eIDAS (UE) No 910/2014(Abre en nueva ventana) .

El nodo eIDAS español se basa en la implementación de referencia que la Comisión Europea ha desarrollado de las especificaciones técnicas que marca el reglamento, y utiliza un sistema de intercambio de mensajes conforme al estándar SAML 2.0. Este proyecto se apoya en el bloque de construcción de eID promovido por el mecanismo europeo CEF (Connecting Europe Facility) y en la experiencia adquirida en los proyectos europeos STORK y STORK 2.0 para facilitar un área única de identificación y autenticación electrónicas para Europa.

El nodo eIDAS actual implica la necesidad de adaptarse al nuevo esquema SAML introducido por el proyecto eIDAS, por lo que la nueva versión de Cl@ve introduce algunos cambios que requieren adaptación por parte de las aplicaciones.

La pasarela de Cl@ve 1.0 disponible hasta la fecha va a seguir activa y dando servicio a las aplicaciones ya conectadas y no se prevé el cese del servicio a medio plazo.

Sin embargo, se recomienda que las aplicaciones que deban hacer uso de la identificación europea a través del nodo eIDAS evolucionen a Cl@ve 2.0 y hagan uso de las nuevas librerías que se han publicado en el PAe (Portal de Administración Electrónica).

En un artículo anterior traté de los pasos que se están dando hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa, con la notificación de varios sistemas de identificación digital nacionales.

En el PAe se detalla el procedimiento de Alta en la gestión de identidad digital Cl@ve 2 y se incluye información importante para los integradores.

Más pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa

5 respuestas

En los últimos meses se observa un progreso notable hacia el reconocimiento mutuo de los esquemas de identificación electrónica en toda la Unión Europea. Cuatro países han realizado la notificación previa de sus esquemas de identificación electrónica: España, Luxemburgo, Estonia y Croacia, tras la la notificación previa de Italia en noviembre de 2017.

La notificación previa es el primero de tres pasos introducidos por el Reglamento (UE) n.º 910/2014 (EIDAS) sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interno con el objetivo de generar confianza entre los Estados miembros y garantizar la interoperabilidad y la seguridad de los esquemas de identificación electrónica notificados.

Seis meses antes de la fecha en la que se pretende realizar la  notificación, los Estados miembros comparten información relacionada con sus esquemas de identificación electrónica, que incluyen: una descripción de la solución, información sobre el proveedor de identidad y el nivel estimado de aseguramiento de identidad, explicación sobre el régimen de responsabilidad atribuible a las autoridades en los potenciales incidentes, descripción del procedimiento para obtener y revocar una identificación electrónica y una descripción del proceso de autenticación en línea.

La información compartida por los Estados miembros contribuirá al proceso de revisión inter pares, permitiendo que el esquema de identificación electrónica se evalúe según los requisitos de calidad y seguridad establecidos por el Reglamento eIDAS.

El 20 de febrero de 2018, España realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos (DNI Electrónico) que presenta, en su última versión (3.0), un nuevo sistema operativo y un chip de doble interfaz. Esto permite que se realice la firma electrónica con dispositivo seguro de creación de firma (el chip) tanto usando un lector de tarjeta chip (mediante los contactos del chip) como mediante lectores NFC (por ejemplo los incluidos en los teléfonos móviles) en modo sin contacto. El DNIe es obligatorio para todos los ciudadanos españoles mayores de 14 años que residan en el país. La aceptación del e-DNI como medio de identificación es obligatoria para todos los servicios públicos electrónicos en España, ya sean nacionales, regionales y autonómicos o locales y también se puede utilizar para acceder a servicios privados en línea tales como operadores bancarios, de telecomunicaciones, etc.

eId1-anverso_DNI-e

El 26 de febrero de 2018, Luxemburgo realizó la notificación previa de su tarjeta de identificación electrónica para ciudadanos de Luxemburgo, que consiste en una tarjeta inteligente sin contacto. La tarjeta de identificación de Luxemburgo es obligatoria para todos los ciudadanos luxemburgueses mayores de 15 años que residan en el país. La activación de los certificados en la tarjeta de identificación nacional debe solicitarse específicamente cuando se obtenga. Los ciudadanos pueden usar este medio de identificación como una forma de acceder a los servicios en línea públicos y privados en Luxemburgo.

eId2-CNI_reference

El 27 de febrero de 2018, Estonia realizó la notificación previa de seis tipos de identificación electrónica estonia: la tarjeta de identificación, la tarjeta RP, la tarjeta de identidad diplomática, Digi-ID, e-Residency Digi-ID y Mobiil-ID. Los primeros tres medios son tanto documentos de identificación física como identidades digitales, mientras que los tres últimos son solo para identificación en línea. La tarjeta de identificación nacional es obligatoria para estonios mayores de 15 años. La identificación móvil es voluntaria, pero solo puede ser activada por los propietarios de una tarjeta nacional de dentificación electrónica. La solución móvil ha sido muy bien recibida por los ciudadanos, con una tasa de 12,2% de votantes que usan Mobile-ID.

eId3-Estonian_identity_card,_2007

El 28 de febrero de 2018, Croacia realizó la notificación previa de de su esquema de identificación electrónica, el Sistema Nacional de Identificación y Autenticación (NIAS,  National Identification and Authentication System) utilizando como identificación el documento de identidad personal croata (eOI). Los datos de identificación personal se imprimen en la tarjeta y se almacenan electrónicamente en el chip. El NIAS es parte del sistema de información del estado llamado e-Citizens que incluye el sistema del Portal del Gobierno Central (Gov.hr) que reúne todos los servicios públicos disponibles y el sistema de Carpeta de Usuario Personal (OKP).

eid4-Osobna_iskaznica_2015_-_prednja_strana

Por tanto, cinco países (si se incluye Italia) han iniciado recientemente un proceso de revisión por pares de tres meses, realizado de forma voluntaria por los Estados miembros que participan en la Red de Cooperación, al que seguirá la notificación formal. Se espera que en total seis esquemas de identificación electrónica (contando con la notificación de Alemania en septiembre de 2017) quedarán notificados en el marco del reglamento eIDAS antes del 29 de septiembre de 2018.

A partir de esta fecha,  todos los Estados miembros de la UE deberán reconocer los Sistemas de Identificación Electrónica (eID) notificados de otros Estados miembros para permitir el acceso al público de servicios en línea gubernamentales (administración electrónica) que ya admitan mecanismos de  identificación electrónica desplegados por el propio país.

Este artículo está basado en el publicado por la Unión Europea: Progress made towards mutual recognition of eID schemes in Europe

 

El policarbonato en los documentos de identidad.

Deja un comentario

El DNI electrónico español usa un soporte de policarbonato.

Los polímeros de policarbonato (PC) o, simplemente, el policarbonato es una opción cada vez más popular en muchos países del mundo, ya que mejora significativamente el nivel de seguridad de los documentos de identidad.

Este material transparente, descubierto y patentado por Bayer en 1953, tiene propiedades ópticas interesantes, es muy flexible, y tiene un muy buen impacto y resistencia al calor, con una gran durabilidad general.

Seguidamente se indican algunos hitos destacados por los fabricantes de documentos de identidad.

La licencia de conducir de Finlandia fue en 1989 el primer documento nacional de policarbonato.

Las lentes reticulares dentro de la tarjeta de policarbonato se graban con láser y se personalizan para que muestren imágenes diferentes cuando se miran desde diferentes ángulos. Esta mejora se introdujo en Singapur en 1991, la primera tarjeta de identidad con Changeable Laser Image (CLI).

En 1995 la tarjeta de identidad de Suiza incorporó los requisitos esenciales para ser considerada documento de viaje.

Las tarjetas de policarbonato son tan rígidas que suenan como un disco compacto cuando caen al suelo. No se pueden separar en láminas (no son delaminables) por lo que se dificulta la falsificación (por ejemplo, no se pueden insertar fotos de otra procedencia). Cuando se utiliza en forma pura y no se mezcla con otros plásticos, las diferentes capas de policarbonato se fusionan para formar una estructura monolítica sólida. Las fotos se imprimen «quemando el plástico» con una impresora especial.

Las principales ventajas del policarbonato incluyen:

  • Resistencia a la temperatura: Puede resistir altas temperaturas (de más de 180°C).
  • Duradero: se garantiza la estabilidad química durante más de 10 años
  • Flexible: Resiste el bandeo que se puede producir por flexión en carteras y monederos.
  • Estructura a prueba de manipulación: Cuando una tarjeta está hecha 100% de policarbonato, su característica de monobloque imposibilita la separación de las diferentes capas sin destruir la tarjeta en sí.
  • Personalización irreversible: El grabado láser , que quema el plástico, es uno de los métodos más populares de personalización de los documentos de identificación.
  • Plataforma óptima para características de seguridad: Debido a la calidad óptica del policarbonato, es compatible con las principales características de securización de soportes existentes.
  • Amistoso con el medio amiente: La combustión del policarbonato produce dióxido de carbono y agua, y no se generan gases tóxicos. Se compara favorablemente con el PVC

Políticas marco de firma electrónica

Deja un comentario

El 2 de diciembre de 2015, el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) aprobó la Guía de Interoperabilidad y Seguridad (GIS) de Autenticación, Certificados y Firma Electrónica en la Administración de Justicia en España, que constituye de facto la «Política Marco de Firma Electrónica para la Administración de Justicia».

El objeto de esta norma es servir como guía en lo relativo a la gestión de firmas electrónicas en el ámbito de la justicia, así como tomar en consideración los conceptos conexos de autenticidad de documentos electrónicos y uso de certificados en el marco de la identificación y autenticación de intervinientes cuando no se precise el uso de firma electrónica.

Es de aplicación a la Administración de Justicia, a los ciudadanos en sus relaciones con ella y a los profesionales que actúen en su ámbito, así como a las relaciones entre aquélla y el resto de Administraciones y organismos públicos.

La administración de Justicia es la estructura de la administración específica para el Poder Judicial, que es un poder diferente al Ejecutivo y lo es también la infraestructura administrativa que le da soporte.

En el ámbito de la Administración Pública, la Administración General del Estado ha desarrollado diversa normativa destinada  favorecer la digitalización de su funcionamiento. En su momento, uno de los hitos principales de ese proceso de digitalización lo constituyó la publicación de la Ley 11/2007 que suplementaba lo dispuesto en la Ley 30/1992. En el año 2015 se publicaron las leyes siamesas Ley 39/2015 y Ley 40/2015 (subsumiendo las dos leyes citadas), un año después de la publicación del Reglamento europeo UE 910/2014 (EIDAS) y teniendo ya en cuenta bastantes de los aspectos de la norma europea.

Por su lado, en la Administración de Justicia se ha desarrollado la Ley 18/2011 a semejanza de la Ley 11/2007 y se han modificado las leyes procesales, con cambios significativos en 2015.

AGE-AJU

En el ámbito de la AGE, dentro del Esquema nacional de Interoperabilidad  se ha desarrollado una política marco de firma electrónica que ha consolidado la experiencia de  las versiones 1.8 y 1.9. La actual, Política 2.0 se publicó en el BOE de 2 de noviembre de 2016.

En su contexto es muy importante una norma complementaria que ayuda a uniformizar la interoperabilidad de los certificados en España.

En el ámbito de la AJU, dentro de las Bases del Esquema Judicial de Interoperabilidad y Seguridad  se ha desarrollado la política marco de firma electrónica del CTEAJE citada al inicio:

Con sus similitudes y sus diferencias, ambas Políticas son referentes de sus respectivas administraciones.

DigiCert adquiere a Symantec su negocio de seguridad de sitios web y PKI

1 respuesta

La operación está valorada en 950 millones de dólares y supone además la toma de una participación de Symantec en Digicert que poseerá el 30% de esta última .

La linea de negocio Website Security de Symantec ha pasado a manos de DigiCert junto soluciones PKI relacionadas.

El CEO de Symantec, Greg Clark y el de DigiCert, John Merrill, manifestaron las ventajas y oportunidades que supone la operación para las empresas en sí y para sus clientes.

Digicert se convierte con esta operación en el principal proveedor mundial de certificados SSL para sitios web y uno de los mayores especialista en gestión de identidad y servicios electrónicos de confianza.

Securizando la Internet de las cosas (IoT)

Deja un comentario

La denominada Internet de las cosas (Internet of Things – IoT) formará una red de alta capilaridad en la que millones de dispositivos, sensores y actuadores remitirán información a sistemas de control que la consolidarán y generarán instrucciones que implicarán la actuación remota de todo tipo: válvulas, apertura y cierre de puertas, actuadores de cremallera , calefactores, motores, reguladores,..

Un contexto en el que es imprescindible que el control remoto solo pueda ser ejercido por sistemas seguros y autorizados para la función. Y que la información solo llegue al destino correcto sin que pueda ser suplantado.

Es preciso que todos los sistemas incluyan mecanismos de generación y comprobación de firmas electrónicas compactas y eficientes. Es preciso que todos los dispositivos incluyan soporte para la tecnología de firma electrónica mediante criptografía ECC.

El algoritmo asimétrico de criptografía de curva elíptica (ECC) es el preferible (frente a RSA) por tamaño de claves y eficiencia del algoritmos, que puede ser implementado en sistemas embebidos y microcontoladores.

El marco de restricciones en IoT incluye limitaciones en recursos computacionales tales como la velocidad del procesador y la memoria disponible, considerando que los dispositivos requieren un muy bajo consumo de energía.

Los desafíos del despliegue de soluciones de IoT incluyen la necesidad de reingeniería de aspectos tales como gestión de identidades, registro de dispositivos y usuarios y criptografía para satisfacer las necesidades de IoT.

ECC es el criptosistema adecuado para cumplir con las limitaciones y desafíos antes mencionados, ya que ECC utiliza claves más pequeñas, menor consumo de potencia de cálculo y menor consumo de memoria para el mismo nivel de protección.

ECC proporciona un nivel de seguridad que satisface las necesidades del ámbito del IoT. El riesgo potencial es alto, y los daños no se limitan al robo o pérdida de datos. Un  dispositivo de IoT comprometido, es decir, controlado por un intruso, puede conducir a problemas de seguridad importantes cuando se relacionan con vehículos, dispositivos de atención médica y sistemas de control. Estas situaciones pueden tener como consecuencias  la pérdida de control del vehículo, un mal funcionamiento del dispositivo médico u otro evento adverso, que causen lesiones, errores de diagnóstico o eventos catastróficos.

Incluso, en el ámbito de la privacidad, la posibilidad de que aparezcan amenazas como el seguimiento no autorizado de las ubicaciones de los individuos, la manipulación de las transacciones financieras y el compromiso de la integridad de los datos altamente sensibles (por ejemplo, los datos de salud necesarios para un diagnóstico adecuado) son retos tan significativos como para que merezcan un período de reflexión y un análisis profundo de los riesgos de cada proyecto o implementación.

EADTrust es su partner de valor añadido en proyectos de IoT por su conocimiento de los criptosistemas de curva elíptica y por la capacidad de generar y distribuir certificados ECC que se pueden incluir en los dispositivos y en los controladores para reforzar su seguridad.

Contacte con EADTRUST llamando al +34 91 7160555

iot

Trust Services Forum 2017

Deja un comentario

ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks

 

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards

1 respuesta

La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) «Regulatory Technical Standards«, en particular sobre los aspectos de «strong customer authentication» y «secure communication»

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la «autenticación fuerte del cliente» que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o «realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos».

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una «interfaz dedicada», que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que «el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una «interfaz dedicada» implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado «simulación de usuario» o, en inglés»screen scraping») una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.