En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).
Formando parte del Observatorio se han definido ya varios laboratorios:
Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.
Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.
Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.
Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.
En el contexto del desarrollo de la Cartera IDUE de la que ya he hablado en este Blog hay varias iniciativas en marcha que contribuyen a elevar las expectativas y a acelerar el proyecto. Un gran reto para un proyecto complejo, especialmente considerando su carácter transfronterizo.
Uno de los aspectos de los que se esperan avances es el de la estandarización.
El organismo ETSI ha desarrollado diferentes normas técnicas en el contexto del Reglamento (UE) 910/2014 (EIDAS) y también está activo preparando las normas técnicas que se aplicarán una vez que se apruebe el Reglamento EIDAS 2, lo cual puede suceder antes de que se acabe el primer semestre de 2023.
Las normas orientadas a EIDAS 2 (y a la Cartera IDUE) son, entre otras, la ETSI TS 119 462, la ETSI TS 119 471 y la ETSI TS 119 472 de las que incluyo una breve explicación.
ETSI TS 119 462 Cartera IDUE – Interfaces de cartera para servicios de confianza y firma electrónica (EUDI Wallet -Wallet interfaces for trust services and electonic signature)
El objetivo de esta norma es especificar las interfaces que permiten la interacción de los servicios de cartera y los de confianza digital, incluida la firma electrónica. Más concretamente, esta norma especificará:
Una interfaz de cartera para prestadores de servicios de confianza con el fin de emitir testimonios de atributos y certificados en la cartera ;
Una interfaz del cartera para los prestadores de servicios de confianza cuando actúen como parte informante en la prestación de sus servicios;
Una interfaz para la creación de firma electrónica cuando el QSCD (dispositivo cualificado de creación de firma) sea gestionado por el Prestador de servicios de Confianza;
Otros casos de uso para la creación de firmas electrónicas y otros servicios de confianza y posibles requisitos para las interfaces;
Este elemento de trabajo tendrá en cuenta el trabajo concurrente sobre las políticas de testimonio de atributos y los perfiles de los testimonios de atributos que se recogen en otras normas, como la TS 119 471 y la TS 119 472.
TS 119 471Policy and Security requirements for Attribute Attestation Services (Política y requisitos de seguridad para los servicios de testimonio de atributos)
Imagen de la Cartera de Identidad, cortesía de Michał Tabor
El objetivo de esta futura norma de ETSI es especificar los requisitos de política y seguridad de los prestadores de servicios de confianza de testimonio de atributos y los servicios de testimonio de atributos que proporcionan.
Contendrá:
Los requisitos de política y seguridad sobre la verificación de atributos y la generación de testimonios por parte del prestador de servicios de confianza;
Los requisitos de política y seguridad sobre los servicios de validación del estado de los Testimonios de Atributos;
Los requisitos para evaluar la fiabilidad de los Testimonios de Atributos; y
Los requisitos sobre el tratamiento de datos personales.
TS 119 472Profiles for Attribute Attestations (Perfiles para los Testimonios de atributos)
El objetivo de esta norma es especificar los perfiles para los testimonios de atributos.
Más concretamente, especificará:
La Semántica para los componentes de los Testimonios de Atributos. Esto incluirá, entre otros, la información enumerada en el anexo V del Reglamento eIDAS 2.0 (pendiente de aprobación).
Vinculación de la semántica a una o más sintaxis.
La norma evaluará una serie de sintaxis tales como credenciales verificables de W3C, SAML, JWT (JSON Web Tokens), certificados de atributos X.509 (X.520) y otras.
La norma no limitará los tipos de atributos incluidos en una declaración de atributos (en relación con la identidad alegada).
Puede ser necesaria una normalización separada para definir interfaces para la gestión y el uso de Testimonios de Atributos.
La Comisión adoptó la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) el 3 de junio de 2021. La iniciativa modifica el Reglamento eIDAS de 2014, que sentó las bases necesarias para acceder de forma segura a los servicios y realizar transacciones en línea y a través de las fronteras en la UE.
La propuesta, basada en el artículo 114 del TFUE, exige a los Estados miembros que emitan una cartera europea de identidad digital con arreglo a un sistema de identificación electrónica notificado, basado en normas técnicas comunes, tras la certificación obligatoria. Con el fin de establecer la arquitectura técnica necesaria, acelerar la aplicación del Reglamento revisado, proporcionar directrices a los Estados miembros y evitar la fragmentación, la propuesta iba acompañada de una Recomendación para el desarrollo de un conjunto de instrumentos de la Unión (Toolbox).
El Reglamento propuesto tiene por objeto garantizar el acceso universal de las personas y las empresas a una identificación y autenticación electrónicas seguras y fiables mediante una cartera digital personal en un teléfono móvil.
II. TRABAJO EN LAS DEMÁS INSTITUCIONES
En el Parlamento Europeo, la propuesta se remitió a la Comisión de Industria, Investigación y Energía (ITRE), y se solicitó opinión a tres comisiones, a saber, la Comisión de Mercado Interior y Protección del Consumidor (IMCO), la Comisión de Asuntos Jurídicos (JURI) y la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE). La ponente del expediente es Romana Jerković (S&D, Croacia). La Comisión ITRE aún no ha aprobado su informe.
El 15 de julio de 2021, se invitó al Comité Económico y Social Europeo a emitir su dictamen sobre la propuesta, que se presentó posteriormente el 20 de octubre de 2021. El Comité Europeo de las Regiones emitió espontáneamente un dictamen sobre la propuesta el 12 de octubre de 2021.
El Supervisor Europeo de Protección de Datos (SEPD) publicó observaciones formales sobre la propuesta el 28 de julio de 2021.
III. SITUACIÓN EN EL CONSEJO
En el Consejo, la propuesta ha sido examinada en el Grupo «Telecomunicaciones y Sociedad de la Información» (WP TELECOM), que inició los debates bajo la Presidencia portuguesa en junio de 2021. El análisis de la propuesta continuó en WP TELECOM bajo la Presidencia eslovena, y la primera lectura concluyó con éxito el 15 de noviembre de 2021.
La Presidencia francesa presentó su primera propuesta transaccional los días 15 de febrero y 5 de abril de 2022, y la segunda se debatió los días 23 de mayo y 9 de junio de 2022. En relación con un debate de orientación celebrado en WP TELECOM el 19 de julio de 2022, la Presidencia checa, basándose en el trabajo de la Presidencia francesa, destacó las principales cuestiones pendientes de alto nivel y pidió a las delegaciones que expresaran sus opciones preferidas, con vistas a volver a redactar las partes pertinentes de la segunda propuesta transaccional en consecuencia. La versión revisada dio lugar a una tercera propuesta de compromiso que fue presentada por la Presidencia checa en el WP TELECOM de los días 5 y 8 de septiembre de 2022. Las iteraciones adicionales y los ajustes conexos fomentaron con éxito un nivel más profundo de convergencia en la mayoría de las cuestiones pendientes.
Sin embargo, la cuarta propuesta transaccional, presentada a las delegaciones en el WP TELECOM de 28 de septiembre de 2022, reveló una divergencia persistente entre los Estados miembros en torno a una cuestión de alto nivel en particular, a saber, el nivel de aseguramiento («LoA») elegido para la cartera de identidad digital europea. Algunos de los Estados miembros que ya cuentan con un sistema nacional de identificación electrónica adoptaron inicialmente, y posteriormente invirtieron, en un Nivel de Aseguramiento (LoA – Level of Assurance) «sustancial», mientras que en la propuesta actual de identificación electrónica se requiere un LOA de nivel «alto». Consciente de que ya existe un elevado número de medios de identificación electrónica de LoA «sustanciales» emitidos en algunos Estados miembros, la Presidencia checa ha propuesto además un mecanismo para facilitar el registro de usuarios, contribuyendo así a la adopción de las carteras de identidad digital europeas. La disposición permite a los usuarios inscribirse en la cartera de identidad digital europeo utilizando los medios nacionales de identificación electrónica existentes en base a LoA «sustanciales» junto con procedimientos adicionales de obtención remota de la identidad digital que conjuntamente permiten cumplir los requisitos de LoA «alto». Las especificaciones técnicas y operativas requerida están sujetas al desarrollo de legislación de aplicación para ello y deberá ser posible la certificación de la conformidad con los requisitos, llevada a cabo por un Organismo de Evaluación.
La quinta propuesta de compromiso se discutió durante la reunión de WP TELECOM del 25 de octubre de 2022. Durante la reunión de WP TELECOM del 8 de noviembre de 2022, la Presidencia checa presentó los limitados cambios introducidos y, además de los comentarios adicionales y las sugerencias de redacción recibidas de las Delegaciones, preparó la versión final del texto transaccional con vistas a presentarlo al Coreper.
El 18 de noviembre de 2022, el Coreper examinó esta propuesta transaccional y acordó por unanimidad presentarla al Consejo TTE (Telecomunicaciones), sin ningún cambio, con vistas a una orientación general en su reunión del 6 de diciembre de 2022.
IV. PRINCIPALES ELEMENTOS DE LA PROPUESTA TRANSACCIONAL
1. La cartera europea de identidad digital
Uno de los principales objetivos políticos de la propuesta de la Comisión de una cartera de identidad digital europea («cartera») es el de proporcionar a los ciudadanos y otros residentes, tal como se definen en la legislación nacional, un medio europeo armonizado de identidad digital basado en el concepto de una cartera europea de identidad digital. Como medio de identificación electrónica («medio de identificación electrónica») emitido en virtud de sistemas nacionales con nivel de aseguramiento «alto», la cartera sería un medio de identificación electrónica por derecho propio basado en la emisión de datos de identificación personal y de la propia cartera por parte de los Estados miembros.
2. Nivel de aseguramiento de la cartera europea de identidad digital
Los niveles de aseguramiento («LoA») deben determinar el grado de confianza en los medios de identificación electrónica para establecer la identidad de una persona, proporcionando así garantías de que la persona que reivindica una identidad determinada es, de hecho, la persona a la que se asignó dicha identidad.
Sobre la base del amplio apoyo registrado en las reuniones del Grupo de Trabajo y en el debate del Coreper del 14 de octubre de 2022, la cartera deberá expedirse dentro de un sistema de identificación electrónica que cumpla con el nivel de aseguramiento «alto». Además, se ha añadido al artículo 6 bis una disposición específica sobre el registro de usuarios. Este cambio tiene por objeto abordar las preocupaciones de los Estados miembros en los que ya se ha emitido un número significativo de medios nacionales de identificación electrónica en base a niveles de aseguramiento «sustanciales». La disposición permite a un usuario utilizar sus medios nacionales de identificación electrónica junto con procedimientos adicionales para darse de alta de forma remota y hacer posible la prueba de identidad en base a un nivel de aseguramiento «alto» y, en última instancia, a obtener una cartera. Dado que el proyecto de Reglamento sobre identificación electrónica se basa en esquemas de certificación de ciberseguridad que deben aportar un nivel armonizado de confianza en la seguridad de las carteras de identidad digitales europeas, también se espera que el almacenamiento seguro de material criptográfico esté sujeto a certificación de ciberseguridad tras un proceso de evaluación. Por consiguiente, la Presidencia ha propuesto un nuevo considerando 10 ter que aborde estas condiciones técnicas previas para lograr un nivel de aseguramiento «alto» y permita un proceso de seguimiento dentro de la aplicación de las carteras de identidad digitales europeas.
3. Notificación a las partes informadas
3.1 Se ha reformulado el artículo 6ter, relativo a la notificación a las partes informadas (las que reciben algún tipo de testimonio o información de la cartera, denominadas a veces «partes que confían»). Como norma general, el proceso de notificación mediante el cual la parte informada comunica su intención de confiar en la cartera debe ser rentable, proporcional al riesgo y debe garantizar que la parte informada proporciona al menos la información necesaria para autenticarse frente a la cartera. De forma predeterminada, solo se requiere mínima información, y la notificación debe permitir el uso de procedimientos automatizados o simples de autonotificación.
3.2 Sin embargo, puede ser necesario un régimen específico debido a requisitos sectoriales, como los aplicables al tratamiento de categorías especiales de datos personales. Por lo tanto, se ha introducido una disposición para ello que tiene por objeto cubrir los casos en que se requiere un procedimiento de registro o autorización más estricto. A la inversa, cuando el Derecho de la Unión o nacional no establezca requisitos específicos para acceder a la información facilitada a través de la cartera, los Estados miembros podrán eximir a dichas partes informadas de la obligación de notificar su intención de confiar en las carteras.
4. Certificación
4.1 El Reglamento debe aprovechar, basarse y exigir el uso de esquemas de certificación de la normativa de Ciberseguridad pertinentes y existentes, o partes de los mismos, para certificar el cumplimiento de las Carteras, o partes de los mismos, con los requisitos de ciberseguridad aplicables, por ejemplo, la de ser considerado un dispositivo cualificado de gestión de claves privadas. En consecuencia, se aplica plenamente el marco de la normativa europea de Ciberseguridad, incluido el mecanismo de revisión inter pares entre las autoridades nacionales de certificación de la ciberseguridad previsto en la normativa europea de Ciberseguridad. Con el fin de armonizar en la medida de lo posible el Reglamento sobre identificación electrónica y la normativa europea de ciberseguridad, los Estados miembros designarán organismos públicos y privados acreditados para evaluar certificar las carteras según lo dispuesto en el Reglamento de ciberseguridad.
4.2 Además, se anima a la Comisión a encargar a ENISA que emprenda el desarrollo y la adopción de un esquema específico de la normativa europea de Ciberseguridad para la certificación de la ciberseguridad de la Cartera. Hasta que se desarrolle dicho esquema, el esquema EUCC (esquema europeo de certificación de ciberseguridad basado en criterios «Common Criteria») publicado en virtud de la normativa europea de Ciberseguridad se utilizará como metodología de referencia para la certificación de la cartera. Para los requisitos no relacionados con la ciberseguridad, en particular los que cubren otros aspectos funcionales y operativos de la Cartera, debe establecerse una lista de especificaciones, procedimientos y normas de referencia. Estos requisitos están sujetos a certificación.
5. Plazo para la provisión de la Cartera
Sobre la base de las orientaciones de los Estados miembros, se ha propuesto que el período de ejecución de 24 meses que determina la obligación de que los estados miembros ofrezcan su Cartera, se empiece a contar a partir de la adopción de los actos de ejecución a los que se refieren el artículo 6 bis, apartado11, y el artículo 6 quater, apartado 4.
6. Tarifas
En el artículo 6 bis, apartado 6 bis, y en el considerando correspondiente se ha aclarado que la expedición, el uso para la autenticación y la revocación de carteras deben ser gratuitos para las personas físicas. Excepto cuando se utilizan Carteras para la autenticación, los servicios que dependen del uso de la Cartera pueden incurrir en costes, por ejemplo, la emisión de los certificados electrónicos de atributos para su gestión por una Cartera.
7. Acceso a las funciones de hardware y software, incluido el «elemento seguro»
La Presidencia ha sugerido establecer una articulación explícita con el Reglamento (UE) 2022/1925, que garantiza el acceso a las funciones de hardware y software como parte de los servicios básicos de plataforma proporcionados por los guardianes de acceso a los servicios en Internet. El artículo 12 ter, recientemente añadido, aclara que los proveedores de carteras y los emisores de medios de identificación electrónica notificados que actúen a título comercial o profesional son usuarios profesionales de los guardianes de acceso a los servicios en Internet en el sentido de la definición respectiva de la DMA (Digital Markets Act). Se ha añadido una redacción del considerando para esbozar las implicaciones de la interconexión con la DMA, a saber, que debe exigirse a los guardianes de acceso a los servicios en Internet que garanticen, de forma gratuita, la interoperabilidad efectiva con las mismas características del sistema operativo, hardware o software que estén disponibles o se utilicen a efectos de interoperabilidad en la prestación de sus propios servicios complementarios y de apoyo.
8. Posibilidades alternativas para emitir los testimonios electrónicos de atributos por parte de los organismos públicos
Se ha mantenido la posibilidad de emitir testimonios electrónicos cualificados de atributos por parte de prestadores cualificados, incluida la obligación de los Estados miembros de garantizar que los atributos puedan verificarse con una fuente auténtica dentro del sector público. Además, se ha introducido la posibilidad de que los testimonios electrónicos de atributos no cualificados puedan tener los mismos efectos jurídicos que los testimonios electrónicos cualificados de atributos cuando sean expedidos a una Cartera directamente por el organismo del sector público responsable de la fuente auténtica o por un organismo designado del sector público en nombre de un organismo del sector público responsable de una fuente auténtica, siempre que se cumplan los requisitos necesarios. La propuesta se refleja en los nuevos artículos 45 bis y 45 quinquies y en el anexo VII.
9. Verificación de registros
El artículo 11 bis original ha pasado a llamarse «Record Matching» (Comprobación de anotaciones registrales) ya que refleja mejor el objetivo de la disposición. Sobre la base de la discusión, el concepto de identificador único y persistente se ha mantenido para las carteras. La definición respectiva aclara que el identificador puede consistir en una combinación de varios identificadores nacionales y sectoriales, siempre que sirva a su propósito. Se establece explícitamente que la verificación de registros puede facilitarse mediante los testimonios electrónicos cualificados de atributos. Además, se ha incorporado al artículo 11 bis una disposición de salvaguardia según la cual los Estados miembros garantizarán la protección de los datos personales y evitarán la elaboración de perfiles de los usuarios. Por último, los Estados miembros, en su calidad de partes informadas, garantizarán la verificación de anotaciones registrales.
VI. CONCLUSIÓN
1. A la luz de lo anterior, se invita al Consejo a:
que confirme una orientación general sobre la propuesta de Reglamento sobre la identidad digital europea (identificación electrónica europea) en la reunión del Consejo de TTE (Telecomunicaciones) que se va a celebrar el 6 de diciembre de 2022.
El objetivo de este documento es proporcionar un conjunto de especificaciones necesarias para desarrollar una solución interoperable de Cartera Europea de Identidad Digital (IDUE) basada en normas y prácticas comunes.
La versión anterior (llamésmosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022.
De aquel documento me permití realizar una traducción al español (un poco libre porque me tomé la licencia de aclarar conceptos que en el documento original no se entendían bien).
Uno de los aspectos que cuidé es la traducción de términos acuñados en inglés a otros que pudieran considerarse términos acuñados en español, huyendo de «falsos amigos» (palabras que se escriben de forma parecida en español pero que significan cosas diferentes). Por ejemplo «Relying Parties» por «Partes Informadas» considerando que son las que reciben los testimonios de las «Partes informantes». Me parece mejor traducción que «Partes que confían»
Este fue uno de los documentos que se entregaron a los participantes en los cursos de formación organizados por TCAB para especialistas en servicios de confianza (nivel 1), responsables de gestión de servicios de confianza (nivel 2) y auditores de servicios de confianza (nivel 3) y en el que tuve el honor de participar como profesor.
La Ley 6/2020 recoge en su Artículo 6 (sobre «Identidad y atributos de los titulares de certificados cualificados.»
La identidad del titular en los certificados cualificados se consignará de la siguiente forma:
En el supuesto de certificados de firma electrónica y de autenticación de sitio web expedidos a personas físicas, por su nombre y apellidos y su número de Documento Nacional de Identidad, número de identidad de extranjero o número de identificación fiscal, o a través de un pseudónimo que conste como tal de manera inequívoca. Los números anteriores podrán sustituirse por otro código o número identificativo únicamente en caso de que el titular carezca de todos ellos por causa lícita, siempre que le identifique de forma unívoca y permanente en el tiempo.
En el supuesto de certificados de sello electrónico y de autenticación de sitio web expedidos a personas jurídicas, por su denominación o razón social y su número de identificación fiscal. En defecto de este, deberá indicarse otro código identificativo que le identifique de forma unívoca y permanente en el tiempo, tal como se recoja en los registros oficiales.
Si los certificados admiten una relación de representación incluirán la identidad de la persona física o jurídica representada en las formas previstas en el apartado anterior, así como una indicación del documento, público si resulta exigible, que acredite de forma fehaciente las facultades del firmante para actuar en nombre de la persona o entidad a la que represente y, en caso de ser obligatoria la inscripción, de los datos registrales.
Sin embargo, el Reglamento europeo EIDAS, establece en el Artículo 4 (sobre el «Principio del mercado interior»
No se impondrá restricción alguna a la prestación de servicios de confianza en el territorio de un Estado miembro por un prestador de servicios de confianza establecido en otro Estado miembro por razones que entren en los ámbitos cubiertos por el presente Reglamento.
Se permitirá la libre circulación en el mercado interior de los productos y servicios de confianza que se ajusten al presente Reglamento.
Por tanto, la normativa española estaría imponiendo una restricción a la prestación de servicios de confianza que excede a lo que prevé el Reglamento Europeo y restringiendo opciones a los prestadores de servicios de confianza españoles. Lo cual está expresamente prohibido por el Reglamento UE nº 910/2014, que, por cierto, es una norma de rango superior a la Ley 6/2020 española.
Prueba de que la intención del legislador europeo es la de definir diferentes mecanismos de numeración es que el Anexo I (sobre «REQUISITOS DE LOS CERTIFICADOS CUALIFICADOS DE FIRMA ELECTRÓNICA») indica:
Los certificados cualificados de firma electrónica contendrán:
a) una indicación, al menos en un formato adecuado para el procesamiento automático, de que el certificado ha sido expedido como certificado cualificado de firma electrónica;
b) un conjunto de datos que represente inequívocamente al prestador cualificado de servicios de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado miembro en el que dicho prestador está establecido, y
— para personas jurídicas: el nombre y, cuando proceda, el número de registro según consten en los registros oficiales,
— para personas físicas, el nombre de la persona;
c) al menos el nombre del firmante o un seudónimo; si se usara un seudónimo, se indicará claramente;
d) datos de validación de la firma electrónica que correspondan a los datos de creación de la firma electrónica;
e) los datos relativos al inicio y final del período de validez del certificado;
f) el código de identidad del certificado, que debe ser único para el prestador cualificado de servicios de confianza;
g) la firma electrónica avanzada o el sello electrónico avanzado del prestador de servicios de confianza expedidor;
h) el lugar en que está disponible gratuitamente el certificado que respalda la firma electrónica avanzada o el sello electrónico avanzado a que se hace referencia en la letra g);
i) la localización de los servicios que pueden utilizarse para consultar el estado de validez del certificado cualificado;
j) cuando los datos de creación de firma electrónica relacionados con los datos de validación de firma electrónica se encuentren en un dispositivo cualificado de creación de firma electrónica, una indicación adecuada de esto, al menos en una forma apta para el procesamiento automático.
Es decir, es el Prestador el que define la forma de codificar el código de identidad del certificado.
En el mismo sentido se establece el principio recogido en el considerando 54:
La interoperabilidad y el reconocimiento transfronterizos de los certificados cualificados es un requisito previo para el reconocimiento transfronterizo de las firmas electrónicas cualificadas. Por consiguiente, los certificados cualificados no deben estar sometidos a ningún requisito obligatorio que exceda de los requisitos establecidos en el presente Reglamento. No obstante, en el plano nacional debe permitirse la inclusión de atributos específicos, por ejemplo identificadores únicos, en los certificados cualificados, a condición de que tales atributos específicos no comprometan la interoperabilidad y el reconocimiento transfronterizos de los certificados y las firmas electrónicas cualificados.
Y, en el plano técnico, la interoperabilidad se resuelve haciendo uso del estándar europeo destinado para ello, la norma ETSI EN 319 412-1 Y en esta norma se ve (apartado «5.1.3 Natural person semantics identifier») que son varias las posibilidades de codificar números de identidad, que no se limitan a recoger el número de DNI:
The semantics of id-etsi-qcs-SemanticsId-Natural shall be as follows.
When the natural person semantics identifier is included, any present serialNumber attribute in the subject field shall contain information using the following structure in the presented order:
3 character natural person identity type reference;
2 character ISO 3166-1 [2] country code;
hyphen-minus «-» (0x2D (ASCII), U+002D (UTF-8)); and
identifier (according to country and identity type reference).
The three initial characters shall have one of the following defined values:
«PAS» for identification based on passport number.
«IDC» for identification based on national identity card number.
«PNO» for identification based on (national) personal number (national civic registration number).
«TAX» for identification based on a personal tax reference number issued by a national tax authority. Thisvalue is deprecated. The value «TIN» should be used instead.
Two characters according to local definition within the specified country and name registration authority, identifying a national scheme that is considered appropriate for national and European level, followed by the character «:» (colon).
Other initial character sequences are reserved for future amendments of the present document.
EXAMPLES: "PASSK-P3000180", "IDCBE-590082394654" and "EI:SE-200007292386".
When a locally defined identity type reference is provided (two characters followed by «:»), the nameRegistrationAuthorities element of SemanticsInformation (IETF RFC 3739) shall be present and shall contain at least a uniformResourceIdentifiergeneralName. The two letter identity type reference preceding the «:» character shall be unique within the context of the specified uniformResourceIdentifier.
Por tanto, dada la posibilidad de hacer constar otros números de identificación de la persona física a criterio del Prestador de Servicios de Certificación y la limitación impuesta a los estados miembro que les prohíbe legislar en lo que ya legisla el Reglamento EIDAS, no sería obligatorio hacer constar el número de DNI.
Pero ¿cual podría ser el dia internacional de la firma electrónica?
Es un debate interesante que abro aquí, si bien lo inauguro con una propuesta. 4 de septiembre.
Porque el 4 de septiembre de 1998 se firmó electrónicamente un comunicado conjunto entre Estados Unidos e Irlanda aprovechando la visita del Presidente Bill Clinton a Irlanda. Su anfitrión, el Primer Ministro «Taoiseach» Bertie Ahern fue el otro firmante.
En una visita a la factoría del fabricante de PCs Gateway de Dublín, se preparó el entorno para la firma electrónica utilizando portátiles de Gateway y el software de firma electrónica de la empresa Baltimore Technologies, radicada en Irlanda.
La visita presidencial estaba prevista para la primera semana de septiembre. Fran Rooney, director general de Baltimore, y Brendan Tuohy, secretario general del Departamento de Empresas Públicas, elaboraron una idea para que los gobiernos de Irlanda y Estados Unidos publicaran un comunicado sobre comercio electrónico, firmado con tecnologías de seguridad digital en lugar de con pluma y tinta. Luego consiguieron el apoyo a este plan de un alto asesor político del Presidente Clinton.
La PKI era muy adecuada para la gestión de documentos oficiales. Su contenido no podía alterarse sin ser detectado después de adjuntar las firmas digitales. Pero los documentos podían seguir siendo copiados y distribuidos tan ampliamente como fuera necesario. El software de autoridad de certificación UniCert, de Baltimore, generaría los certificados digitales para identificar al Presidente Clinton y al Taoiseach Ahern. Esos certificados podrían almacenarse en tarjetas inteligentes y el proceso de firma adoptaría la forma de una transacción con tarjeta.
Clinton y Ahern recibieron sus tarjetas inteligentes personales, cada una con un código de firma único y un certificado digital. Los dos Jefes de Estado introdujeron sus tarjetas inteligentes en los lectores e introdujeron sus códigos personales, generando las firmas adjuntas al comunicado. Éste aparece, con los sellos de las firmas, en la página web de la Casa Blanca.
«¿Tienen idea de cuánto tiempo paso cada día firmando con mi nombre?» preguntó Clinton. «Me voy a sentir completamente inútil si no puedo hacer al menos eso».
El escenario estaba preparado para una exhibición de Baltimore Technologies ante un público invitado y los medios de comunicación internacionales que acompañaban al presidente estadounidense. El fabricante de ordenadores Gateway aceptó acoger el acto en sus instalaciones de Clonshaugh. Los políticos interpretaron su papel a la perfección y toda la tecnología funcionó bien.
Sin embargo, fue un inconveniente que el proceso de firma digital fuera más o menos instantáneo. Para mejorar la visivilidad de la operación, Baltimore ideó una animación especial que mostraba la transferencia de las firmas de las tarjetas al documento. Esta animación prolongaba la ceremonia y creaba una sensación de ocasión especial.
En retrospectiva, el aspecto más interesante del comunicado era el docuento que prescribía a los gobiernos en la infraestructura en evolución para las transacciones basadas en Internet: proporcionar un marco jurídico claro, promover un entorno favorable a la competencia y garantizar una protección adecuada de los objetivos de interés público, como la privacidad, los derechos de propiedad intelectual y la protección del consumidor. El acuerdo intergubernamental también afirmaba que los impuestos sobre el comercio electrónico debían ser coherentes y no discriminatorios.
En los tratados internacionales los firmante se suelen intercambiar las plumas. Quizá habría que pensar en otro acto protocolario que no implicara intercambiarse las tarjetas chip, para no transmitir ideas equívocas. Quizá los lectores de tarjetas («chipeteras»).
Un grupo de ingenieros de Telefónica destacados en el Parque Tecnológico Walqa forman parte del equipo que trabaja en la integración de los servicios de Disney+ dentro de las aplicaciones de entretenimiento de Telefónica en varios mercados latinoamericanos: Vivo Play en Brasil y Movistar TV en los países hispanohablantes.
Dichas apps van desde dispositivos móviles y tablets –tanto iOS como Android– a ordenadores personales, decodificadores –las cajas (Set Top Box) que Telefónica pone en casa de los clientes y que sirven para disfrutar de televisión y contenido bajo demanda– y el resto de los dispositivos donde está disponible la aplicación.
Gracias a esta unión, los clientes de Telefónica en Latinoamérica pueden acceder a los contenidos de Disney+ directamente desde las aplicaciones, así como integrar sus cuentas de Disney+ dentro de la factura de Telefónica para realizar un pago único.
El Technical Product Manager de la plataforma, José Manuel Escartín, ha explicado: «para cada país y dispositivo se requiere una integración distinta, pero somos capaces de dar solución a todas las necesidades que nos solicitan. En Huesca tenemos un equipo puntero de desarrollo que ha contribuido a que Telefónica pueda ofrecer servicios de entretenimiento a millones de clientes en todo el Mundo».
La inclusión de Disney+ en Vivo Play y Movistar TV va alineada con la estrategia de Telefónica de convertir su producto de entretenimiento en un hub integrador de servicios de video, música y juegos.
POSICIÓN PRIVILEGIADA
El Product Manager y parte del equipo en Walqa, Pablo Antolín, ha comentado: «la industria del entretenimiento está fragmentada en distintas plataformas. Telefónica tiene una posición privilegiada en el hogar de los usuarios para ofrecerles todo el entretenimiento en un solo lugar, nuestro decodificador, que es ya hoy la opción preferencial de consumo en la casa de nuestros clientes, sobre todo en el contenido en vivo».
Antolín ha añadido: «Disney+ se une a las integraciones ya disponibles de Netflix, Amazon Prime Video, YouTube y otros terceros. Actualmente somos los líderes en cuanto al número de integraciones de estas plataformas. Además, el valor que Telefónica ofrece al usuario es doble: por un lado, solventamos el problema del descubrimiento y acceso a los contenidos de las distintas plataformas ofreciendo una experiencia de uso y búsqueda unificada y, por otro, permitimos integrar el servicio en la factura mensual».
Otra ingeniera aragonesa de Walqa especializada en arquitecturasoftware, Critina Peña, ha destacado: «el gran impacto que tienen las aplicaciones Vivo Play y Movistar TV nos permite trabajar junto con otras grandes compañías digitales, lo cual es un lujo para los ingenieros de Telefónica I+D de Walqa».
Se trata de un equipo de gente joven, formados en su amplia mayoría en las distintas universidades aragonesas que lleva años trabajando y formándose en diversas tecnologías del desarrollo software y que ha conseguido lanzar aplicaciones punteras para ofrecer los servicios de entretenimiento de Telefónica en todo Latinoamérica.
Con más de once millones y medio de usuarios distribuidos entre Brasil, Argentina, Perú, Chile, Colombia, Ecuador y Uruguay, las aplicaciones de entretenimiento de Telefónica son uno de los grandes referentes en el mundo del video.
TELEFÓNICA I+D EN WALQA
El centro de Telefónica I+D de Huesca es uno de los 5 que hay en España. Los otros están en Madrid, Barcelona, Granada y Boecillo (Valladolid). En Walqa, trabajan 25 ingenieros de telecomunicación e informáticos de los cuales más de la mitad son aragoneses.
El centro de Huesca inició sus actividades en 2003 y, durante los 10 primeros años, trabajaron en proyectos de desarrollo en áreas avanzadas de telecomunicaciones, dirigidos por la Unión Europea, en colaboración con otras compañías, instituciones y universidades, tanto nacionales como internaciones.
Desde 2011, el centro ha ido especializándose hacia el desarrollo de servicios de entretenimiento dentro de la estrategia del hogar digital de Telefónica. Cada vez más usuarios en España, Reino Unido, Alemania y Latinoamérica utilizan servicios codiseñados por el equipo de Telefónica I+D de Walqa.
In order to configure DGCG (Digital Green Certificate Gateway) participating countries need to deliver information regarding CSCA (Certificate Signing Certificate Authority), and specifically Public Key of the certificate of the CA used to sign the DSC (Document Signing Certificate) of every Body in charge of issuing DGC (Digital Green Certificates) . Remember that Health CSCA is different from CSCA used in Passports although both environments use similar terminology.
Trust List managed by Gateway
The ECC p-256 Public Key of Spain CSCA to be used for European Digital Green Certificates is
—–BEGIN PUBLIC KEY—–MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1rjpdfCTyXE8RdrbW8rbLagURmGQerDBqh0WEaRCaJpqDuqKy0Zs1fXBhSPJQ4334X0TdMAWBIoLnLBC2up9Lg== —–END PUBLIC KEY—–
Principles regarding validity
Rule 0: A certificate needs to be valid when it is used to sign/seal.
Rule 1: The DSC needs to be valid longer than anything it signs. So, the DSC expiry date must be >= than expiration date of the document it signs.
Rule 2: The CSCA needs to be valid longer than any DSC it signs.
Rule 3: If any certificate has a shorter ‘key usage period’ – then the signature has to be created in that period.
La información recogida en este artículo está especialmente enfocada a las entidades españolas que participan en el proyecto y pretende aclarar algunas dudas sobre el uso de certificados.
Tipos de certificados a utilizar.
Las entidades deben disponer de un certificado basado en criptografía de curva elíptica con tamaño de clave de 256 bits, y es deseable que tengan también otro certificado basado en criptografía RSA, con tamaño de clave de 2048 bits para situaciones de contingencia. Esta recomendación se indica en las páginas 5 y 6 del documento «Guidelines on Technical Specifications for Digital Green Certificates – Volume 1«
En España, es recomendable que, en el caso de las administraciones públicas, se utilicen certificados cualificados de sello de órgano del tipo indicado (ECC o RSA). Las entidades privadas deberían optar por un certificado de sello electrónico para persona jurídica. Estos certificados se denominan «Document Signing Certificates (DSCs)» en los documentos técnicos del proyecto. La codificación de caracteres debe basarse en el formato UTF-8. Con esta codificación no debería haber problema con los acentos de los nombres de los organismos en el campo «Common Name», «Organization», «Organization Unit» aunque teniendo en cuenta que es un proyecto internacional puede ser más sencillo para usuarios de otros países si no se usan acentos.
España ya tiene definida la CSCA (Certificate Signing Certificate Authority) para la emisión de certificados. Las entidades que emitan certificados digitales de vacunación, de pruebas diagnósticas de estar o haber estado infectado por COVID-19, o de haber superado la dolencia, deberían contactar con el Ministerio de Sanidad para coordinar su participación. La CSCA española está basada en certificados cualificados EIDAS, con una arquitectura diferente a la orientada a los sistemas eMRTD (electronic Machine Readable Travel Documents) de ICAO que inspiraron inicialmente el modelo de PKI adoptado para el «Digital Green certificate».
Cada país tiene flexibilidad para definir el modelo de confianza que adoptará, pudiendo incluso tener más de una CSCA.
Se recomienda que las entidades firmantes de certificados HCERT (Electronic Health Certificate Container, denominación que aplica a los certificados verdes digitales, junto con DGC, Digital Green Certificate) utilicen dispositivos HSM para la custodia de claves privadas.
En las firmas realizadas con el DSC sobre el HCERT se debe incluir el dato «Expiration time» que indica la fecha límite en la que se acepta el certificado verde digital por quienes comprueban sus datos (en trámites fronterizos o de otro tipo). Esta fecha debe ser menor que la fecha de expiración del DSC. Ver página 6 del documento indicado anteriormente.
También se incluye el campo «Issued At«. Esta fecha es la de emisión de certificado y no puede ser anterior a la fecha de emisión del DSC. Ver página 6 del documento indicado anteriormente.
Existe una recomendación que sugiere adquirir certificados DSC de 2 años y utilizarlos por 6 meses para firmar los HCERT. No obstante, si se limita la validez de los HCERT a 6 meses, los DSC de 2 años se podrían utilizar durante 18 meses.
Contacte con el +34 91 716 0555 si necesita información adicional.
El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado. En su apartado 1 se indica:
1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.
La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.
a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o
b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o
c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o
d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.
Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:
En el epígrafe «Modificación del teléfono aportando vídeo y documentación relacionada» se indica:
Avisos
Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
Puede obtener más información sobre este trámite pinchando aquí
En la documentación deberá presentar:
Copia del DNI/NIE por las dos caras.
En el caso de los NIE, copia de la primera hoja del pasaporte.
Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
Nombre y apellidos.
DNI/NIE.
Trámite que quiere realizar.
Número de teléfono que quiere registrar.
Puede usar esta frase a modo de guion: «Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666» al tiempo que muestra el DNI/NIE por las dos caras. El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.
Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir «Video autorretratos grabados por los solicitantes» tal como lo describe la Agencia Tributaria.
Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.
Todo es electrónico 