Archivo de la categoría: Prestadores de Servicios de Certificación

Resuelto uno de los frenos a los certificados cualificados de PSD2

1 respuesta

EIDAS-CAB-forumEl CAB Forum ha aprobado una modificación del documento «Extended Validation Guidelines» para permitir incluir guiones en el campo organizationIdentifier (OID 2.5.4.97) de los certificados EV (Extended Validation), con lo que los certificados expedidos en el contexto de la norma ETSI TS 119 495 ya no serán incompatibles con las comprobaciones que realizan los navegadores. De esta forma se podrán expedir certificados QWAC compatibles con EV para entidades financieras y otras entidades que operan en aplicación de la Directiva (UE) 2015/2366 llamada Segunda Directiva de Pagos (PSD2).

La propuesta SC17 se ha aprobado con 23 votos favorables de entidades emisoras de certificados y 6 de las entidades desarrolladoras de navegadores (comprobadores de certificados).

Votos a favor:

  • Emisores:  Actalis, Buypass, Camerfirma, Certigna (DHIMYOTIS), Certum (Asseco), Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, DigiCert, eMudhra, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy,  SHECA, SSC, SecureTrust (anteriormente Trustwave), TurkTrust.
  • Comprobadores: Apple, Cisco, Google, Microsoft, Mozilla, 360

1 Abstención (Emisores): TrustCor

Con este resultado, se permite la inclusión de información adicional en los certificados EV para cumplir con ciertas regulaciones de la Unión Europea.

La motivación argumentada que dio lugar a la solicitud que se ha votado fue:

  • El Reglamento de la Unión Europea Nº 910/2014 (eIDAS)  define ciertos requisitos reglamentarios para los certificados con un nivel de calidad acordado denominado «Cualificado». Este reglamento especifica en el Anexo IV los requisitos específicos para «Certificados cualificados para la autenticación de sitios web», incluida la declaración de que el certificado contendrá: «para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
  • Se entiende que este requisito se relaciona con los atributos validados para la identificación del sujeto del certificado y, por lo tanto, se ajusta mejor al nombre distinguido del sujeto (subject’s distinguished name).
  • En línea con el marco regulatorio, ETSI ha definido una estructura general para llevar «números de registro» en la norma TS 119 412-1 (en la actualidad EN 319 412-1). Ver cláusula 5.1. 4. En ella se utiliza el identificador de organización (organizationIdentifier) de la norma  X.520 dentro del nombre distinguido del  sujeto el propósito de servir como «identificación de una organización diferente del nombre de la organización». Esto se utiliza para los requisitos de ETSI para llevar los números de registro para certificados, cualificados o de otro tipo.
  • Se considera que este uso de organizationIdentifier es compatible con el propósito principal de los certificados de EV como se indica en la sección 2.1.1 de las Directrices de EV como «otra información desambiguadora».
  • Un reciente Reglamento delegado de la UE 2018/389 sobre comunicaciones seguras para servicios de pago establece en el artículo 34.2 que para los Certificados de sitio web cualificados (QWAC), el número de registro requerido en eIDAS «será el número de autorización del proveedor de servicios de pago (…) o equivalente [referencia hecha a regulaciones anteriores relacionadas con entidades financieras]».
  • ETSI ha especificado los requisitos de la norma TS 119 495 para incluir los números de registro relacionados con PSD2 en la estructura general para los números de registro definidos en la citada norma TS 119 412-1 en su cláusula 5.1 .4
  • ETSI se ha esforzado por garantizar y siempre ha intentado que los requisitos relacionados con los certificados de sitios web en el nivel Cualificado estén en línea con las pautas de Extended Validation de CA / B Forum.
  • Esta propuesta solo incluye algunos de los Esquemas de registro utilizados en la norma ETSI TS 119 412-1, que tienen reglas de validación claras (NTR, VAT, PSD) que brindan una seguridad razonable de acuerdo con las «EV Guidelines«. Se propone que los IPR (intellectual property rights) para la semántica de este esquema se cedan al CA / B Forum, lo que le permitirá extender aún más el uso del Identificador de la organización (organizationIdentifier) para incluir otros Esquemas de registro (por ejemplo, LEI, Legal Entity Identifier) y las reglas de validación correspondientes, a discreción del CA / B Forum.  Además, cualquier cambio futuro realizado por ETSI a la norma ETSI TS 119 412-1 ya no tendrá impacto adicional en CA / B Forum.
  • Al tomar conciencia de que la interpretación del CA / B Forum de los «Requisitos de EV» en la sección 9.2.8 “Otros Atributos” no estaba en línea con la forma de entenderlos por los expertos de ETSI, este organismo desearía armonizar su interpretación con la de CA / B Forum para reflejar en los certificados diferentes formas de establecer números de registro para PSD2 y otros esquemas de identificación alfanumérica de entidades.

Por otro lado, las preocupaciones específicas del CA / B Forum eran:

  • Los requisitos con respecto a los atributos que se han de incluir en el DN (Distinguished Name) del sujeto deben recogerse de forma explícita en el apartado 9.2.
  • Las organizaciones pueden desear identificar las unidades organizativas dentro de su organización. No está claro si esto está permitido actualmente en las Directrices de EV (ambigüedad similar a la de la sección 9.2.8).
  • Se han argumentado objeciones al uso específico de ETSI del campo Distinguished Name.
  • Los procedimientos para la validación del atributo deben estar claramente establecidos.
  • Puede haber otros usos del campo organizationIdentifier  en varias PKI, sin embargo, no se considera un problema. dado que la semántica única que se está especificando para cada identificador, las aplicaciones deben ser capaces de comprender los diferentes usos del campo organizationIdentifier  por diferentes emisores y usuarios. Hay muchas «PKI» diferentes que pueden usar todos los atributos de X.500 de manera diferente y con una validación diferente o sin ninguna validación. Según parece, el WebPKI no ha usado anteriormente este atributo de subjectDN antes para los Certificados de confianza pública (Publicly-Trusted Certificates). Por lo tanto, no hay «conflicto» al usar este atributo en las Directrices EV para Certificados SSL / TLS, y tal vez más adelante para Certificados de Firma de Código EV.
  • Este uso de organizationIdentifier debe ser extensible para permitir el uso de otros números de registro asignados por diferentes esquemas de registro. Algunos miembros de CAB Forum han expresado interés en incluir números de registro que no sean para identificar el tipo de sociedad dentro de Certificados EV. Esto está previsto en la propuesta actual.
  • Algunos miembros del CA / B Forum tienen interés en incluir las identificaciones LEI dentro de los certificados del CA / B Forum, pero hasta ahora el esquema de registro LEI no se considera lo suficientemente extendido como para ser reconocido explícitam como un esquema de numeración de registro para ser aceptado por el CA / B Forum. Por lo tanto, esta propuesta solo introduce un conjunto limitado de esquemas de registro (a saber, NTR, IVA, PSD) que tienen reglas de validación razonablemente sólidas.
  • Algunos miembros del CA / B Forum han indicado la posible necesidad de múltiples identificadores en el campo «nombre del sujeto». Sin embargo, esto no se puede lograr utilizando el campo definido en la norma X.520 organizationIdentifier que definió este atributo como «SINGLE VALUE».

Los cambios aprobados, que se reflejarán el documento «EV Guidelines» son:

  • Agregar a la sección 4 las siguientes definiciones:
    Entidad legal: una organización privada, entidad gubernamental, entidad comercial o entidad no comercial.
    Referencia de registro: un identificador único asignado a una entidad legal (persona jurídica).
    Esquema de registro: un esquema para asignar una referencia de registro que cumple con los requisitos identificados en el Apéndice H. «
  • Cambiar el título de la Sección 9.2 para indicar»Campos de Nombre Distinguido del Sujeto» (Subject Distinguished Name Fields).
  • Eliminar la Sección 9.2.2 y renumerar las secciones 9.2.3 a 9.2.8 como 9.2.2 a 9.2.7.
  • Insertar una nueva sección 9.2.8:
    “9.2.8. Campo identificador de organización del sujeto
    ** Campo de certificado **: organizationIdentifier (OID: 2.5.4.97)
    ** Requerido / Opcional **: Opcional
    ** Contenido **: Si está presente, este campo DEBE contener una referencia de registro para una entidad legal asignada de acuerdo con el Esquema de registro identificado.
    El organizationIdentifier DEBE estar codificado como PrintableString o UTF8String (ver RFC 5280).
    El Esquema de Registro DEBE identificarse utilizando la siguiente estructura en el orden presentado:
    * Identificador de esquema de registro de 3 caracteres;
    * Se utilizará el código de país ISO 3166 de 2 caracteres para la nación en la que opera el Esquema de Registro, o si el esquema se opera globalmente, se utilizará el código ISO 3166 “XG”
    * Para el identificador del Esquema de Registro NTR, si es requerido bajo la Sección 9.2.4, un identificador ISO 3166-2 de dos caracteres para la subdivisión (estado o provincia) de la nación en la que opera el Esquema de Registro, precedido por el signo más “+” ( 0x2B (ASCII), U + 002B (UTF-8));
    * un guión (signo menos) «-» (0x2D (ASCII), U + 002D (UTF-8));
    * Referencia de registro asignada de acuerdo con el Esquema de Registro identificado.Nota: las Referencias de Registro PUEDEN contener guiones, pero los Esquemas de Registro, los códigos de país ISO 3166 y los identificadores ISO 3166-2 no PUEDEN contenerlos. Por lo tanto, si aparece más de un guión en la estructura, el guión más a la izquierda es un separador, y los guiones restantes forman parte de la Referencia de Registro.Como en la sección 9.2.4, la información de ubicación especificada DEBE coincidir con el alcance del registro al que se hace referencia. Ejemplos:
    * NTRGB-12345678 (esquema NTR, Gran Bretaña, cuyo identificador único a nivel de país es 12345678)
    * NTRUS + CA-12345678 (Esquema NTR, Estados Unidos – California, cuyo identificador único a nivel estatal es 12345678)
    * VATDE-123456789 (Esquema de IVA o CIF, Alemania, cuyo Identificador único a nivel de país es 12345678)
    * PSDBE-NBB-1234.567.890 (Esquema de PSD2, Bélgica, con identificador de la NCA (National Competent Authority) por sus siglas NBB, y con identificador único del sujeto asignado por la NCA formado por la secuencia 1234.567.890)Los esquemas de registro enumerados en el Apéndice H se reconocen actualmente como válidos bajo estas pautas («Guidelines»).

    La CA DEBE:
    1. confirmar que la organización representada por la Referencia de Registro es la misma que la organización nombrada en el campo de organización como se especifica en la Sección 9.2.1 dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4;
    2. Verificar además que la Referencia de registro coincida con otra información verificada de acuerdo con la sección 11;
    3. Tomar las medidas adecuadas para desambiguar entre diferentes organizaciones como se describe en el Apéndice H para cada Esquema de Registro;
    4. Aplicar las reglas de validación relevantes al Esquema de Registro como se especifica en el Apéndice H. «

  • Insertar nueva sección 9.8 (renumerar las siguientes secciones según sea necesario):
    9.8. Extensiones de Certificado
    Las extensiones enumeradas en la Sección 9.8 se recomiendan para la máxima interoperabilidad entre los certificados y los navegadores / aplicaciones, pero no son obligatorias en las CA, excepto cuando se indica como «Requerido». Las CA pueden usar otras extensiones que no están enumeradas en esta Sección 9.8, pero se les recomienda que propongan su inclusión en esta sección de vez en cuando para ayudar a aumentar la estandarización de la extensión en toda la industria.Si una CA incluye una extensión en un certificado que tiene un campo de Certificado que se menciona en esta Sección 9.8, la CA debe seguir el formato especificado en esa subsección. Sin embargo, ninguna extensión o formato de extensión será obligatorio en una CA a menos que se indique específicamente como «Requerido» en la subsección que describe la extensión.9.8.1. Extensión del nombre alternativo del sujeto (Subject Alternative Name Extension)
    ** Campo del certificado: ** _subjectAltName: dNSName_
    ** Requerido / Opcional: ** Requerido
    ** Contenido: ** Esta extensión DEBE contener uno o más nombres de dominio de host que sean propiedad o estén controlados por el sujeto y que estén asociados con el servidor del sujeto. Dicho servidor PUEDE ser propiedad y operado por el Sujeto u otra entidad (por ejemplo, un servicio de alojamiento). Los certificados comodín no están permitidos para los certificados EV.9.8.2. Campo de identificador de organización del foro de CA / navegador
    ** Nombre de la extensión **: _cabfOrganizationIdentifier_ (OID: 2.23.140.3.1)
    ** OID detallado **: {joint-iso-itu-t (2) international-Organizations (23) ca-browser-forum (140) extensiones de certificado (3) cabf-organization-identifier (1)}
    ** Requerido / Opcional **: Opcional (pero ver más abajo)
    ** Contenido **: Si el asunto: organizationIdentifier está presente, este campo DEBE estar presente.

    A partir del 31 de enero de 2020, si está presente el campo sujeto: organizaciónIdentificador, este campo DEBE estar presente.
    Si está presente, este campo DEBE contener una Referencia de Registro para una entidad legal asignada de acuerdo con el esquema de registro identificado.

    El esquema de registro DEBE estar codificado como se describe en la siguiente gramática ASN.1:

    id-CABFOrganizationIdentifier OBJECT IDENTIFIER ::= 
{ joint-iso-itu-t(2) international-organizations(23) 
ca-browser-forum(140) certificate-extensions(3) 
cabf-organization-identifier(1) }

ext-CABFOrganizationIdentifier EXTENSION ::= 
{ SYNTAX CABFOrganizationIdentifier IDENTIFIED BY 
id-CABFOrganizationIdentifier }

CABFOrganizationIdentifier ::= SEQUENCE {

registrationSchemeIdentifier   PrintableString (SIZE(3)),

registrationCountry            PrintableString (SIZE(2)),

registrationStateOrProvince    [0] IMPLICIT PrintableString OPTIONAL (SIZE(0..128)),

registrationReference          UTF8String

}

    donde están los subcampos y tienen los mismos significados y restricciones descritos en la Sección 9.2.8. La CA DEBE validar el contenido utilizando los requisitos de la Sección 9.2.8 «.

  • Añadir nuevo Apéndice H – Esquemas de registro
    “Los siguientes esquemas de registro se reconocen actualmente como válidos según estas pautas:** NTR **: La información incluida en este campo será la misma que se guardó en el campo Número de registro del sujeto como se especifica en 9.2.5 y el código de país utilizado en el identificador del esquema de registro coincidirá con el de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.
    Cuando la Jurisdicción de constitución de la entidad o el Campo de Registro en 9.2.4 incluya más que el código del país, la información de localidad adicional se incluirá como se especifica en las secciones 9.2.8 y / o 9.8.1.** IVA **: Referencia asignada por las autoridades fiscales nacionales a una entidad jurídica. Esta información se validará utilizando la información provista por la autoridad fiscal nacional contra la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el campo del número de registro del sujeto (ver 9.2.5) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.

    ** PSD **: Número de autorización especificado en ETSI TS 119 495, cláusula 4.4, asignado a un proveedor de servicios de pago y que contiene la información especificada en ETSI TS 119 495 cláusula 5.2.1. Esta información SE DEBE obtener directamente del registro de la autoridad nacional competente para servicios de pago o de una fuente de información aprobada por una agencia gubernamental, organismo regulador o legislación para este propósito. Esta información DEBE validarse comparándola directa o indirectamente (por ejemplo, haciendo coincidir un número de registro único global) con la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el Campo del número de registro del sujeto (ver 9.2.5). ) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4. La dirección indicada de la organización combinada con el nombre de la organización NO SERÁ la única información utilizada para desambiguar la organización «.

Nuevas normas de ETSI para firmas digitales en la nube

2 respuestas

El comité técnico de ETSI sobre Infraestructura de firma electrónica (TC ESI, technical committee on Electronic Signature Infrastructure) acaba de publicar un conjunto de tres Especificaciones técnicas para firmas digitales basadas en la nube que admiten dispositivos móviles: ETSI TS 119 431-1, ETSI TS 119 431-2 y ETSI TS 119 432.

Este nuevo conjunto de estándares promueve la creación de firmas digitales en la nube, lo que facilita la adopción de las tecnologías de firma electrónica al evitar la necesidad de software especializado por parte de los usuarios y la de contar con dispositivos seguros de creación de firma, tales como lectores de tarjeta chip.

El acrónimo TW4S (Trustworthy System Supporting Server Signing) se usa con frecuencia para identificar los entornos de firma electrónica en la nube.

El firmante confía en un servicio de confianza ofrecido por terceros especialistas para administrar su clave secreta de firma electrónica y para firmar digitalmente bajo su control aquellos documentos electrónicos que considere.

Para garantizar que es confiable el entorno de creación de firmas basado en la nube y que la clave privada de firma se usa bajo el control del firmante, el prestador del servicio de firma digital remota debe aplicar procedimientos seguros de gestión y utilizar sistemas y productos confiables, incluyendo canales seguros de comunicación electrónica.

Según Nick Pope, Vicepresidente del comité ESI de ETSI, “este es un gran paso en la seguridad de los despliegues de firmas digitales que tiene en cuenta la tendencia de adopción de servicios basados ​​en la nube y la generalización de los dispositivos móviles. Estas normas permiten una nueva forma de implementar los Servicios de confianza que simplifica enormemente su uso y proporciona un conjunto de herramientas importante para contrarrestar el creciente fraude de Internet dirigido a empresas y organismos».

Las normas ETSI TS 119 431 partes 1 y 2 definen requisitos de política y seguridad que los organismos de evaluación de la conformidad (Conformity Assessment Bodies) pueden utilizar para certificar que un prestador de servicios de confianza sigue las mejores prácticas para la operación de dichos servicios de creación de firmas basados ​​en la nube, en particular en el contexto del Reglamento eIDAS (UE) 910/2014. Este trabajo de ETSI complementa las publicaciones del Comité Europeo de Normalización, CEN EN 419241-1: 2018 (requisitos generales para sistemas confiables que dan soporte a la firma electrónica en servidor) y EN 419241-2: 2019 (perfil de protección para dispositivos cualificados de creación de firma electrónica (QSCD) para la firma en servidor), que proporcionan los requisitos básicos de la firma electrónica en la nube.

Cloud-signature

La norma ETSI TS 119 432 especifica el protocolo que permite a una aplicación cliente solicitar la creación de una firma digital a un servidor. Esta especificación establece un protocolo para la comunicación segura entre los diferentes componentes necesarios para crear una firma digital segura en la nube, en consonancia con los estándares de seguridad establecidos en el Reglamento eIDAS. Se especifican dos tipos de conexión para implementar este protocolo: XML, que se basa en la especificación OASIS DSS-v2.0, y JSON, que se basa en la especificación del Cloud Signature Consortium (CSC). ETSI colaboró ​​con ambs organismos de normalización, OASIS y CSC para elaborar estas especificaciones de protocolo.

TCAB, Trust Conformity Assessment Body ya está considerando esta nuevas normas para las evaluaciones de conformidad de firma en la nube de sus clientes. Estas normas no están contempladas todavía por ENAC para su uso en la evaluación de servicios cualificados. Para más información, llame a 91 388 0789 

Digital por diseño

Deja un comentario

Va llegando el momento de abandonar el término «transformación digital» que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las «piezas de lego» que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos «en la nube», los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el «soporte duradero» o la «simetría probatoria» (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con «nodos eIDAS» como el español que se instancia a través del sistema «Cl@ve«.

Formación y certificación de auditores #EIDAS

4 respuestas

TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Invitación abierta – Grupo de Trabajo de AMETIC – Buenas prácticas en el campo de la video-identificación y el video onboarding

1 respuesta

El próximo lunes 12 de noviembre se celebrará a las 12:00 una reunión en AMETIC para constituir un Grupo de Trabajo de Identidad Digital que yo presido y que excepcionalmente está abierto a entidades que no sean miembros de AMETIC.

El objetivo del grupo es elaborar un documento titulado provisionalmente «Guidelines o buenas prácticas en el campo de la video-identificación y el video onboarding» orientado a prestadores de servicios de certificación en el marco del EIDAS y a entidades financieras y otras de los ámbitos FinTech e Insurtech que vean útil contar con un procedimiento consensuado que refleje las mejores prácticas en identificación remota de usuarios, alineadas con la normativa de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.

En el Grupo de Trabajo de Identidad Digital de AMETIC se compartirá la información pública difundida en el marco de las actividades del Grupo de Expertos de la Comisión Europea sobre técnicas de «Conoce a tu Cliente», del que formo parte y del que se puede ver más información en este enlace:

Este grupo de expertos europeo ha tenido varias reuniones los pasados meses (9 de abril y 10 de julio) y un Taller (Workshop with providers of remote on-boarding solutions) el 28 de septiembre. La tercera reunión formal del grupo tiene lugar mañana 9 de noviembre en Bruselas, por lo que en la reunión del lunes 12 de noviembre podremos trabajar con la información más reciente en lo que se refiere a los avances en Europa.

  El objetivo de este artículo es invitar a las entidades interesadas a participar en este Grupo de Trabajo. Si lees este artículo y piensas que alguien pueda estar interesado, házselo llegar. Esta invitación se puede hacer extensiva a otras personas y entidades.

Para confirmar la asistencia, llamar lo antes posible a AMETIC (Madrid: 915 90 23 00, Barcelona: 93 241 80 60).

La dirección de AMETIC es:

  • Principe de Vergara, 74, 4ª planta – 28006 Madrid.

Para los que os vaya mejor Barcelona:

  • Avda. Sarriá, 28, 1º- 1ª – 08029 Barcelona.

Ambas sedes están conectadas por un sistema de videoconferencia

Empresas españolas con soluciones de Videonboarding e Identificación remota

Deja un comentario

Estoy recopilando información de empresas que ofrecen soluciones de identificación a distancia y «video onboarding», y ya he identificado unas cuantas:

  • Lleidanet – eKYC Onboarding
  • Deloitte – OBA (Onboarding App)
  • Ecertic – KYDC (Know Your Digital Customer)
  • Electronic Identification (electronicID) – VideoID
  • ICAR vision (Mitek) – IDMobile
  • Branddocs  – TrustCloud VídeoConferencia

En estos momentos el interés por este tema es superior porque participo en el Grupo de Expertos de la Comisión Europea sobre técnicas de «Conoce a tu Cliente», y las empresas identificadas con posibilidad de prestar estos servicios se incluirán en un informe disponible para la Comisión Europea y para las entidades participantes en los trabajos.

Así que aprovecho este articulo para pedir a quienes conozcan entidades que prestan estos servicios o los incorporan en sus estrategias (como las entidades financieras) que me hagan llegar la información suficiente para identificarlas.

 

Construyendo el futuro digital con #EIDAS

Deja un comentario

En un mundo globalizado y en plena transformación digital, la seguridad de las transacciones y las comunicaciones es más necesaria que nunca.

La gestión de la identidad digital y la preservación de evidencias electrónicas resuelve la digitalización de la última milla cartácea: esos aspectos que las entidades se resisten a gestionar digitalmente porque dudan de si serán capaces de ejercer el derecho a la prueba de otra forma que no sea en papel.

Recientemente InfoCert uno de los principales Prestadores de Servicios de Confianza Digital europeos y con sede en Italia ha entrado en el capital de Camerfirma, entidad que tuve el honor de dirigir hace 15 años, y que opera en directa colaboración con las Cámaras de Comercio.

Juntas, ambas entidades atesoran una oferta de servicios destinada a promover la Confianza Digital única en el mundo y una sólida presencia en diferentes mercados de diferentes continentes, lo que permite aventurar que se está formando un campeón de escala global con origen europeo.

Infocert-Camerfirma

El próximo 17 de Octubre 2018 a las 10:00 nos invitan en la Cámara de Comercio de España (C/Ribera del Loira 12, Madrid) a su presentación conjunta y con acompañamiento de relevantes personalidades relacionadas con la economía digital

La secretaria de Estado de Comercio, Xiana Méndez, y el responsable de Administración Electrónica y Confianza de la Comisión Europea, Andrea Servida, participarán en la jornada, bajo el título “Construyendo el futuro digital”, y a buen seguro nos actualizarán sobre el contexto de negocio digital promovido por el desarrollo del Reglamento UE 910/2014 (EIDAS).

En esta jornada se analizarán las oportunidades y retos que se plantean a las empresas en el marco del  Mercado Único Digital.

Para inscibirse, hay que acceder al sitio web de evento.

Directiva PSD2 y certificados #eIdAS de Proveedores de Servicios de Pago

1 respuesta

Ya se han tratado en este blog algunos aspectos relevantes sobre la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior, también conocida como Directiva PSD2 (Segunda Directiva de Servicios de Pago).

En uno de los artículos del blog, de marzo de 2017 dedicado al Borrador Final de los Estándares Técnicos Regulatorios  (Final Draft Regulatory Technical Standards) y #eIdAS me atreví a vaticinar  como serían los perfiles de los certificados cualificados de los PISP (Servicios de iniciación de pagos) y de los AISP (Servicios de información sobre cuentas), y en especial la asignación del número identificativo al que se refiere la norma EN 319 412.

En la actualidad ya se ha publicado una norma técnica en estado de borrador que aterriza los conceptos necesarios para emitir los certificados cualificados a las Fintech que operen en el contexto de la PSD2. Se trata de la norma TS 119 495 titulada en inglés:

Sector Specific Requirements; Qualified Certificate Profiles and TSP Policy Requirements under the payment services Directive (EU) 2015/2366

Y unos pocos Prestadores de Servicios Electrónicos de Confianza están considerando su emisión.

La Segunda Directiva de Servicios de Pago favorecerá el crecimiento del mercado europeo de pagos electrónicos y armonizará el marco legislativo europeo aún fragmentado, tras la publicación de diferentes normas emitidas por cada Estado miembro en la transposición de la Primera Directiva de Servicios de Pago (Directiva 2007/64 / CE), que conlleva riesgos potenciales para la seguridad de los pagos y para la protección de los consumidores.

En el despliegue armonizado de la Segunda Directiva, los servicios de confianza definidos por el Reglamento UE 910/2014 (EIDAS)  no han recibido suficiente atención.

Uno de los aspectos clave de la Directiva PSD2 es la identificación electrónica confiable de los actores involucrados en una transacción de pago electrónico. En este marco regulatorio se ha definido por la Autoridad Bancaria Europea (EBA) un reglamento técnico específico que hace necesaria la «Autenticación fuerte del cliente» (SCA, Strong Customer Authentication) del pagador, que debe identificarse de manera confiable. Para este requisito, todos los proveedores de servicios de pago (PISP y AISP) deben acceder a las cuentas de pago o ejecutar órdenes de pago solo después de una autenticación fuerte del cliente en base a técnicas de doble factor de autenticación (2FA). 

Esta medida ha tenido una fría acogida por parte de los proveedores de servicios de pago que la ven como una amenaza para la experiencia de usuario del ordenante de pagos, frente a variantes que simplifican la interfaz añadiendo un simple botón de  «pago con un  clic» y la mínima fricción en la autenticación.

Aunque volveré sobre el tema de la autenticación de usuarios, hoy quería tratar sobre la identificación de los Prestadores de Servicios de Iniciación de Pagos y de Información sobre cuentas, para actualizar mi sugerencia de 2017 con lo que finalmente se ha plasmado en la norma de ETSI:

El atributo organizationIdentifier contendrá la información de identificación de la entidad  utilizando la siguiente estructura:

  • «PSD» como referencia de tipo de identidad de persona jurídica de 3 caracteres;
  • código de país de 2 caracteres ISO 3166 que representa el país del organismo supervisor;
  • guión-signo menos «-» (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de organismo supervisor de 2-8 caracteres (mayúscula A-Z solamente, sin separador)
  • guión-signo menos «-» (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de PSP (número de autorización según lo especificado por el organismo supervisor).

EJEMPLO: El identificador de organización «PSDES-BDE-0182» significa un certificado emitido a un PSP para el que el número de entidad es 0182, otorgada por el Banco de España. España (el identificador después del segundo guión lo establece el sistema de numeración español).

SPID – Sistema Publico de Identidad Digital

3 respuestas

En Italia, el sistema equivalente al español «Cl@ve» se denomina SPID (Sistema Pubblico di Identità Digital).

logo-spidEs una plataforma que gestiona la identidad digital  del ciudadano y le permite acceder a todos los servicios en línea de la Administración Pública con una única gestión de credenciales (nombre de usuario y contraseña) y que se puede utilizar en ordenadores, tabletas y teléfonos inteligentes.

Cuenta con 3 niveles de certeza respecto a la identidad, de menor a mayor:

  1. permite el acceso a servicios en línea a través de un nombre de usuario y contraseña elegidos por el usuario
  2. dedicada a los servicios que requieren un mayor grado de seguridad, ya que exige la generación de un código de acceso temporal (OTP, One Time Password), accesible a través de un dispositivo (por ejemplo, teléfonos inteligentes mediante APP o SMS, o tokens OTP) adicionalmente al uso de un nombre de usuario y una contraseña elegidos por el usuario
  3. proporciona el uso de soluciones de seguridad adicionales y dispositivos físicos (por ejemplo, tarjetas inteligentes) proporcionados por el prestador de servicios de gestión de identidad

Con la notificación del Sistema Público de Identidad Digital (SPID) italiano a la Comisión Europea, finaliza el camino establecido por la normativa comunitaria eIDAS, para el reconocimiento de la identidad digital como instrumento de acceso a los servicios digitales de las administraciones públicas de los demás Estados miembros.

La notificación se envió tras el proceso de revisión inter-pares, que comenzó el 24 de noviembre de 2017 y finalizó el 11 de julio de 2018, durante la reunión de la red de cooperación en la  Dirección General de Redes de Comunicación, Contenido y Tecnología de la Comisión (DG Connect), con la opinión favorable de todos los Estados miembros.

Italia, después de Alemania, es el segundo país europeo que ha completado el proceso para el reconocimiento mutuo de su sistema nacional de identidad digital y el primero en notificar un sistema que gestiona la identidad basado en la verificación de identidad realizado por entidades privadas. El resto de países han notificado hasta la fecha solo tarjetas de identidad del ciudadano, como el caso de España con el DNI electrónico.

En el momento actual la lista de prestadores (Proveedores de Identidad Acreditados) que colaboran en la verificación de la identidad de SPID son los siguientes:

Impresa IdP Documentazione Metadata
Aruba Pec S.p.A.
In.Te.S.A. S.p.A.
InfoCert S.p.A
Lepida S.p.A.
Namirial S.p.A.
Poste Italiane S.p.A.
REGISTER.IT S.p.A.
Sielte S.p.A.
TI Trust Technologies S.r.l.

Sistemas de identificación digital de otros países utilizables en España

2 respuestas

Hace tres meses expliqué los pasos hacia el reconocimiento mutuo de los esquemas de identificación electrónica en Europa que están dando los países europeos, en el marco del Reglamento UE No 910/2014 (EIDAS), y que prevé el calendario de adopción siguiente:

eIDAS_timeline

Básicamente se trataba de difundir los sistemas de identificación (tarjetas chip semejantes al DNIe) que diferentes países habían notificado o estaban en proceso de notificar  a la Unión Europea como primer paso para su admisión en el resto de países para trámites de administración electrónica.

Los sistemas de identificación electrónica que han sido notificados deben ser reconocidos por los servicios públicos en el plazo de 12 meses desde la fecha de su publicación en el Diario Oficial de la UE (o el 29 de Septiembre de 2018 si el plazo es anterior).

En estos momentos solo hay un país cuyo sistema de identificación esté en estado «notificado«, mientras que varios otros en estado «pre-notificado«.

País: Alemania
Nombre del sistema: Sistema alemán de identificación electrónica basado en el control de acceso ampliado
Medios eID del sistema notificado:
–> Documento Nacional de Identidad
–> Permiso de residencia electrónico
Nivel de seguridad: Alto
Fecha de publicación de la notificación: 26 Septiembre 2017
Fecha de obligatorio reconocimiento: 29 Septiembre 2018
Publicación: 2017/C 319/03(Abre en nueva ventana)

Además de los atributos obligatorios (Identificador, Nombre, Apellido y Fecha de nacimiento) este esquema podría enviar los siguientes atributos opcionales:

  • Lugar de nacimiento,
  • Nombre y apellido al nacer,
  • Dirección actual.

Por tanto ya es admisible en España el  Sistema alemán de identificación electrónica.

Hay, además, 7 países (Italia, España, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) que están en estado de «pre-notificado», es decir, han iniciado el proceso de notificación para que el resto de países puedan evaluar sus Sistemas de identificación electrónica.

Por lo que en breve los sistemas de identificación de 6 países (Italia, Luxemburgo, Estonia, Croacia, Bélgica y Portugal) serán también admisibles en España.

Y en el mismo sentido, el DNI electrónico español será admisible en toda Europa

Desde la fecha de pre-notificación, deben pasar al menos 6 meses hasta que se efectúe la notificación.

Sistemas de identificación electrónica pre-notificados
País Nombre del Sistema Medios de eID del Sistema Atributos opcionales Fecha prenotificación
Italia SPID – Public System of Digital Identity. (Sistema Público de Identidad Digital) SPID Lugar de nacimiento, Dirección actual, Género 29 Nov 2017
España Documento Nacional de Identidad electrónico (DNIe) Documento Nacional de Identidad 20 Feb 2018
Luxemburgo Luxembourg national identity card (eID card). (Documento Nacional de Identidad de Luxemburgo) National Identity Card (Documento Nacional de Identidad) Lugar de nacimiento, Dirección actual, Género 26 Feb 2018
Estonia Estonian eID scheme (Esquema de eID de Estonia) ID card
RP card
Digi-ID
e-Residency Digi-ID
Mobiil-ID
Diplomatic identity card		 27 Feb 2018
Croacia National Identification and Authentication System (NIAS). (Sistema Nacional de identificación y autenticación) Croatian personal identity card (eOI) (Documento de identidad personal croata) Lugar de nacimiento, Dirección actual, Género 28 Feb 2018
Bélgica Belgian eID Scheme FAS / eCards (Esquema eID de Bélgica) National Electronic Identity Card (Citizen eCard) Electronic Resident Card (Foreigner eCard) (Documento Nacional de Identidad electrónico y documento electrónico de residente extranjero) Lugar de nacimiento, Género 28 May 2018
Portugal Cartão de Cidadão
(Documento del ciudadano)		 Portuguese national identity card (eID card)
(Documento Nacional de Identidad portugués)		 Dirección actual, Género 30 May 2018
Chave Móvel Digital
(Clave móvil digital )		 Digital Mobile Key
(Clave móvil digital)		 Dirección actual, Género
Sistema de Certificação de Atributos Profissionais
(Sistema de Certificación de Atributos Profesionales)		 Professional Attributes Certification System
(Sistema de Certificación de Atributos Profesionales)		 Dirección actual, Género

 

Este artículo se basa en la noticia publicada en el Portal de Administración Electrónica «Sistemas de identificación electrónica notificados«