Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
Hay una alternativa a Valide que ayuda distinguir mejor las firmas cualificadas y los sellos cualificados, y da mayor detalle sobre si se emplea o no Dispositivo Cualificado de Creación de Firma (en inglés QSCD Qualified Signature/Seal Creation Device):
La Plataforma DSS (Digital Signature Service) de EADTrust es una herramienta de validación de certificados y firmas mucho más completa, y también indica si el certificado utilizado se incluye en la lista de confianza de prestadores y servicios cualificados de la Unión Europea.
En España hay bastantes servicios de «recogida de firmas» que captan firmas simples o firmas avanzadas y que dicen cumplir con la normativa EIDAS.
Eso, en realidad, es fácil porque el artículo 25 del Reglamento EIDAS establece :
Artículo 25
Efectos jurídicos de las firmas electrónicas
No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.
Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.
Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.
Pero lo cierto es que esos sistemas de recogida de firmas simples y avanzadas lo que hacen es confundir a los usuarios, porque los ciudadanos de a pie no tienen por qué ser expertos en firma electrónica cualificada. Se espera que los expertos estén detrás de esas empresas «especialistas», que están gestionando algunas de estas firmas, que tienen «menos papeles que un conejo de monte».
En realidad, a las empresas (y a sus clientes) les interesa que las firmas electrónicas que se gestionan «on-line» sean de tipo «cualificado«, entre otros motivos porque su fuerza probatoria es, en términos que usan los los abogados «iuris tantum«. Es decir, válidas salvo prueba en contrario, que deberá aportar la parte que niega su validez
En efecto, la Ley 6/2020 introdujo una aclaración de sus efectos en la Ley de Enjuiciamiento Civil:
«4. Si se hubiera utilizado algún servicio de confianza cualificado de los previstos en el Reglamento citado en el apartado anterior (Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior), se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente si figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados.
Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 300 a 1200 euros.»
Esa es una de las razones por lo que es tan útil una herramienta como esta: si recibimos un documento PDF firmado electrónicamente, el software «Adobe Reader» ya nos dice , por ejemplo, si el certificado es cualificado mostrando un candadito en la propiedades de la firma electrónica (con ello se comprueba, por ejemplo, si el prestador que emitió el certificado está en la lista TSL europea), incluso si se ha usado un QSCD. Pero para saber todo el detalle de las firmas electrónicas y de los certificados, esta herramienta DSS es posiblemente la más potente y la más sencilla de usar.
En relación con los artículos recientes en este blogs sobre GoCertius contamos en un video de 1 minuto varios aspectos:
EADTrust es un Prestador Cualificado de Servicios de Confianza, lo que se puede comprobar aquí y aquí.
Por la Disposición final segunda de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza, se ha modificado el artículo 326 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Que señala:
«4. Si se hubiera utilizado algún servicio de confianza cualificado de los previstos en el Reglamento citado en el apartado anterior, se presumirá que el documento reúne la característica cuestionada y que el servicio de confianza se ha prestado correctamente si figuraba, en el momento relevante a los efectos de la discrepancia, en la lista de confianza de prestadores y servicios cualificados.
Si aun así se impugnare el documento electrónico, la carga de realizar la comprobación corresponderá a quien haya presentado la impugnación. Si dichas comprobaciones obtienen un resultado negativo, serán las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 300 a 1200 euros.»
La cámara y el micrófono los controla directamente la App. No se puede instalar en móviles «rooteados» (con permisos de superusuario).
Cada prueba electrónica recogida en la Certificación se respalda por un sello de tiempo cualificado tal como se define en el Reglamento EIDAS (Reglamento 910/2014, artículo 41).
Cada Certificación se rubrica con un Sello electrónico cualificado de entidad (de la propia EADTrust) tal como se define en el Reglamento EIDAS (Reglamento 910/2014, artículo 35).
Cada certificación de GoCertius constituye un «Soporte duradero» según se exige en diferentes normas (por ejemplo, la Ley 3/2014 de defensa de consumidores y usuarios).
Por tanto las capturas de pruebas electrónicas registradas por GoCertius se benefician de esa presunción «Iuris Tantum» que impone la carga de la prueba a quien quiera negar su fuerza probatoria.
Y todo está hecho para que se pueda entender de la mejor forma posible qué es lo que se está demostrando y para dar certeza de su autenticidad.
GoCertius está disponible para iPhone y Android y su uso es gratuito.
10:00 Cuarto Panel: Estándares, Identidad Digital y Servicios de Pago
Presenta y modera: Dra. Mª José Vañó Vañó, Profesora Titular de Derecho Mercantil en la Universidad de Valencia e investigadora en LegalCripto
PSD3 en el contexto de los criptoactivos con función de pago — Dra. Lucía Alvarado Herrera, Profesora Titular de Derecho Mercantil en la Universidad Pablo de Olavide de Sevilla y colaboradora en LegalCripto.
Orden en el caos: Evaluación de conformidad en entornos complejos — Dña. Ainhoa Inza Blasco, Chief Executive Officer del Trust Conformity Assessment Body (tCAB).
Marcos de referencia en seguridad como camino a seguir — D. Pablo López, Jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional (CCN).
La futura regulación europea sobre identidad digital y su impacto en los medios de pago — Dña. Mª Cristina Timón López, Investigadora doctoral en la Universidad de Murcia, consultora de pagos digitales para la firma holandesa Explicit Selection y colaboradora en iDerTec y LegalCripto.
La Comisión Europea hizo ayer, 8 de noviembre de 2023, un comunicado expresando su satisfacción sobre el acuerdo alcanzado el por el Parlamento Europeo y el Consejo de la UE en el trílogo (diálogo a tres bandas) final sobre el Reglamento EIDAS2 por el que, entre otros aspectos se regulan las nuevas Carteras de Identidad Digital de la Unión Europea. Ya el pasado 29 de junio se anunció un importante avance al concretar los aspectos más espinosos del texto legal EIDAS2. Como español, es para mí motivo de orgullo y satisfacción que el acuerdo se haya culminado bajo la Presidencia Española de turno de la Unión Europea.
Y gracias a la aclaración de Ángel Martín en el evento organizado el 19 de octubre de 2023 por el Observatorio Legaltech Garrigues-ICADE, a través del Laboratorio de Confianza Digital, que tengo el honor de dirigir, sabemos este acuerdo cuenta entre los logros de la Presidencia Española, aunque todavía hay que dar varios pasos hasta que la norma se publique en el Diario Oficial de la Unión Europea:
Votación en el comité ITRE del Parlamento Europeo el 28 de noviembre de 2023.
Votación en sesión plenaria del Parlamento Europeo entre el 15 y 18 de enero de 2024.
Adopción por el Consejo Europeo a finales de enero de 2024.
Traducción a los idiomas oficiales de los países miembros y publicación en el Diario Oficial de la Unión Europea, probablemente en marzo 2024.
Foto de grupo de los participantes en el último Trílogo que acordó el texto final de EIDAS2
Esta es la traducción del comunicado:
La Comisión acoge con satisfacción el acuerdo final alcanzado ayer por el Parlamento Europeo y el Consejo de la UE en el diálogo a tres bandas final sobre el Reglamento por el que se regulan las carteras de identidad digital de la Unión Europea. Con ello concluye el trabajo de los colegisladores para aplicar los resultados del acuerdo político provisional alcanzado el 29 de junio de 2023 sobre un marco jurídico para una identidad digital de la UE, el primer marco de identidad digital fiable y seguro para todos los europeos.
Esto supone un paso importante hacia los objetivos de la Década Digital 2030 sobre la digitalización de los servicios públicos.
Todos los ciudadanos de la UE podrán tener en su teléfono móvil una Cartera de Identidad Digital de la UE para acceder a servicios en línea públicos y privados, nuevos y preexistentes, con total seguridad y con énfasis en la protección de los datos personales, cualquiera que sea el país en el que los servicios estén disponibles, a disposición de cualquier ciudadano en cualquier lugar de Europa.
Además de los servicios públicos, las plataformas en línea muy grandes designadas con arreglo al Reglamento de Servicios Digitales (incluidos servicios como Amazon, Booking.com o Facebook) y los servicios privados que estén legalmente obligados a autenticar a sus usuarios deberán aceptar la Cartera de Identidad Digital de la UE para iniciar sesión en sus servicios en línea.
Además, las características y especificaciones comunes de las carteras harán atractiva su aceptación por parte de todos los proveedores de servicios privados, creando nuevas oportunidades de negocio. La cartera también facilitará que los proveedores de servicios puedan cumplir con otros requisitos normativos.
Además de custodiar de forma segura la identidad digital de su titular, la Cartera le permitirá nuevas funcionalidades como abrir cuentas bancarias, realizar pagos y conservar documentos digitales auténticos (testimonios cualificados y no cualificados) relacionados con esa identidad.
Por ejemplo, la Cartera albergará el carné de conducir, las recetas médicas, que se podrán leer por un farmacéutico en otro país con su propia aplicación de Cartera en el móvil, los certificados profesionales, como los que acreditan la profesión de abogado, procurador o ingeniero colegiado, la certificaciones de formación oficial o profesional o los billetes de avión o autobús. La Cartera ofrecerá una alternativa práctica y fácil de usar a la identificación digital que se definía en el Reglamento EIDAS de 2014 para que la pudieran desplegar los estados.
La Cartera facilitará los medios para que su usuario pueda decidir si cede o no sus datos a las entidades que se los solicitan (partes informadas), o incluso si retira el permiso de que una entidad tenga sus datos con posterioridad a haber aceptado que los cedía. La Cartera llevará la cuenta de todas las veces que el titular ha cedido datos y a qué entidades y los permisos que ha retirado.
La Cartera deberá superar un proceso de evaluación de conformidad por un organismo independiente con arreglo a normas de evaluación que granizarán el mayor nivel de exigencia en cuanto a su seguridad. Y partes sustanciales de su código fuente se publicarán de forma abierta para permitir su escrutinio por terceros y excluir cualquier posibilidad de uso indebido, seguimiento ilegal, rastreo o interceptación gubernamental o de otros tipo.
Los debates legislativos han reforzado la ambición del Reglamento en una serie de ámbitos importantes para los ciudadanos. La Cartera contendrá un cuadro de mando de todas las transacciones accesible a su titular, ofrecerá la posibilidad de denunciar posibles violaciones de la protección de datos y permitirá la interacción entre Carteras. Además, los ciudadanos podrán usar la Cartera junto con los sistemas nacionales de identificación electrónica existentes y podrán realizar desde la Cartera de firmas electrónicas que serán sin coste en determinadas circunstancias.
El acuerdo alcanzado por los colegisladores está pasar por una fase de aprobación formal del Parlamento Europeo y el Consejo. Una vez adoptado formalmente, el marco europeo de identidad digital entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea.
Cada Estado miembro debe proporcionar a sus ciudadanos su Cartera de identidad digital de la UE a los 24 meses desde publicación de ciertas normas complementarias: (actos de ejecución) que concreten las especificaciones técnicas de la cartera de identidad digital de la UE (trabajo ya en curso y que ha dado lugar a los documentos de «Arquitectura y Marco de Referencia» (en inglés «Architecture and Reference Framework») y las especificaciones técnicas para la evaluación de conformidad.
Estos actos de ejecución, que deberían publicarse en el DOUE entre 6 y 12 meses después de la adopción del Reglamento EIDAS2, se basarán en las especificaciones desarrolladas en el marco de la caja de herramientas de identidad digital de la UE (Toolboox consensuado por el Grupo de Expertos EIDAS – E03032), estableciendo condiciones armonizadas para la implantación de las carteras en toda Europa.
El programa político de la Década Digital 2030 establece la ambición de Europa para liderar la transformación digital en 2030. De acuerdo con los objetivos de la Década Digital, para 2030 todos los servicios públicos clave deberán estar disponibles en línea, todos los ciudadanos deberán poder acceder a sus historiales médicos en línea y todos deberán tener acceso a su herramienta segura de gestión de la Identidad Digital de forma que mejore la privacidad.
La cartera de identidad digital de la UE parte del marco jurídico transfronterizo existente para la gestión de identidades digitales de confianza, a partir de las iniciativas de cada estado, según se recogía en el Reglamento eIDAS adoptado en 2014 y que ya incluía la previsión de requisitos para la emisión de certificados de sitios web (denominados QWAC).
La propuesta de la Comisión de un nuevo Reglamento que modifique y actualice el citado Reglamento eIDAS, sobre cuyo texto los colegisladores han alcanzado ayer un acuerdo definitivo, mejorará la eficacia y ampliará las ventajas de una identidad digital segura y cómoda orientada a su uso en dispositivos móviles antes las administraciones públicas y ante el sector privado.
Además, a lo largo de los últimos 2 años se han licitado, adjudicado e iniciado cuatro proyectos piloto a gran escala, en los que se están invirtiendo más de 90 millones de euros, de los cuales 46 millones están cofinanciados por la Comisión con cargo al Programa Europa Digital, y que han empezado a probar versiones preliminares de carteras de identidad digital de la UE en una serie de casos de uso cotidiano, como el carné de conducir móvil, la sanidad electrónica, los pagos digitales, la educación y las cualificaciones profesionales. Los proyectos piloto se iniciaron el 1 de abril de 2023 y contribuirán a mejorar las especificaciones técnicas de la cartera y el desarrollo del prototipo «oficial» disponible en código fuente.
«Me complace ver que estas negociaciones tan técnicas han llegado a buen puerto, convirtiendo nuestra propuesta en legislación. La cartera de identidad digital de la UE marcará el comienzo de una nueva era de la Década Digital, como forma cómoda y segura de gestionar los documentos digitales personales y de acceder diariamente a los servicios en línea públicos y privados. Los europeos tendrán control sobre sus datos personales y podrán compartirlos fácilmente, si lo desean, desde una aplicación en su teléfono.» Vicepresidenta Věra Jourová – 08/11/2023
«El acuerdo de hoy es un paso importante hacia el objetivo de la UE para 2030 de dar a todos los ciudadanos europeos la posibilidad de utilizar una identidad digital segura y que preserve su intimidad. La Cartera de Identidad Digital de la UE dará a los ciudadanos el control sobre sus datos y mejorará la seguridad cuando utilicen servicios en línea. Reforzará la soberanía tecnológica de Europa y nos ayudará a afrontar los retos actuales y futuros de la digitalización.» Thierry Breton, Comisario de Mercado Interior – 08/11/2023
Durante el fin de semana del 4 y 5 de noviembre de 2023 se ha publicado un «Joint Statement» impulsado por Mozilla e Internet Society, como parte de su esfuerzo de influenciar el desarrollo legislativo del Reglamento EIDAS2 en fase de Trílogos.
Entre otras afirmaciones, dice:
«Después de leer el texto casi definitivo, estamos profundamente preocupados por el texto propuesto para el artículo 45. La propuesta actual amplía radicalmente la capacidad de los gobiernos para vigilar tanto a sus propios ciudadanos como a los residentes en toda la UE, proporcionándoles los medios técnicos para interceptar el tráfico web cifrado, además de socavar los mecanismos de supervisión existentes en los que confían los ciudadanos europeos»
El artículo 45 se formuló de la siguiente forma en la versión inicial de la propuesta de reglamento:
«Artículo 45
Requisitos de los certificados cualificados de autenticación de sitios web
Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. Se presumirá el cumplimiento de los requisitos establecidos en el anexo IV cuando un certificado cualificado de autenticación de sitios web se ajuste a las normas a que se refiere el apartado 3.
Los navegadores web reconocerán los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Con este fin, los navegadores web garantizarán que los datos de identificación proporcionados mediante cualquiera de los métodos se muestren al usuario de un modo fácil de entender. Los navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1, con la excepción de las empresas consideradas microempresas y pequeñas empresas de conformidad con la Recomendación 2003/361/CE de la Comisión en sus primeros cinco años de actividad como prestadores de servicios de navegación web.
Dentro de los doce meses siguientes a la entrada en vigor del presente Reglamento, la Comisión dispondrá, por medio de actos de ejecución, las especificaciones y los números de referencia de las normas para los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.»
A lo largo del proceso legislativo se han propuesto algunos cambios, entre otras razones porque la actuación del lobby no es de ahora y se pensó en aceptar lo aceptable de sus planeamientos. Al inicio de los debates de los trílogos (en marzo de 2023) el texto propuesto era:
«Article 45
Requirements for qualified certificates for website authentication
Qualified certificates for website authentication shall allow the authentication and identification of the natural or legal person to whom the certificate was issued with a high level of assurance. Qualified certificates for website authentication shall also meet the requirements laid down in Annex IV. Qualified certificates for website authentication shall be deemed compliant with this paragraph and the requirements laid down in Annex IV where they meet the standards referred to in paragraph 3.
Qualified certificates for website authentication referred to in paragraph 1 shall be recognised by web-browsers. Web browsers shall not be prevented from taking measures that are both necessary and proportionate to address substantiated risks of breaches of security, user’s privacy and loss of integrity of certificates provided such measures are duly reasoned. In such a case, the web browser shall notify the Commission, ENISA and the qualified trust service provider that issued that certificate or set of certificates without delay of any measure taken. Such recognition means that web-browsers shall ensure that the relevant identity data and electronic attestation of attributes provided is displayed in a user friendly manner, where possible, consistent manner, that reflects the state-of-the-art regarding accessibility, user awareness and cybersecurity according to best industry standards. Web-browsers shall ensure support and interoperability with qualified certificates for website authentication referred to in paragraph 1, with the exception of enterprises, considered to be microenterprises and small enterprises in accordance with Commission Recommendation 2003/361/EC in the first 5 years of operating as providers of web-browsing services.
By … [12 months after the date of entry into force of this amending Regulation], the Commission shall, by means of implementing acts, provide the specifications and reference numbers of standards for qualified certificates for website authentication referred to in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 48(2).»
El texto final se ha acordado en los debates de trílogos y la reunión final para decidir su aprobación está prevista para el miércoles 8 de noviembre, bajo la presidencia española. No sé exactamente el texto acordado pero será parecido al ya indicado.
La dureza (y falsa información) del ataque de Mozilla e «Internet Society» ha motivado que un grupo de prestadores de servicios de certificación europeos («European Signature Dialog») hayan preparado un documento de respuesta.
Los diversos documentos difundidos por «Mozilla», son básicamente falsos. Combinan mentiras y desinformación y atacan el hecho de que una norma tan importante como un Reglamento Europeo obligue a que los navegadores web estén obligados a reconocer los certificados cualificados de autenticación de sitios web.
Sin embargo esto se reconoce en el contexto de los Prestadores de Servicios de Confianza Digital Cualificados como una necesidad inaplazable.
Lo que pasa en realidad es que los Prestadores de Servicios de Confianza (entre los cuales están los Servicios de Certificación, entre los cuales los certificados para servidores web son un caso particular) deben superar un duro proceso de revisión que incluye una auditoría bienal (por un Organismo Evaluador de Conformidad, CAB) para todos sus servicios cualificados más una auditoría anual para los servicios de emisión de certificados de sitio web.
Luego deben presentar el Informe de Evaluación de Conformidad (CAR) al Organismo Supervisor del país en el que prestan sus servicios (que podría imponer requisitos adicionales).
Y ADEMÁS deben solicitar al organismo de Evaluación que genere un CAR parecido con algunos requisitos ligeramente diferentes para la inclusión de sus certificados en las listas de confianza de los navegadores a través de ciertos mecanismos como la base de datos CCADB y la plataforma de gestión de errores Bugzilla. Esta plataforma, auspiciada por Mozilla, la usan otras entidades que desarrollan navegadores web.
En la evaluación de conformidad se toman en consideración las normas de ETSI EN 319 401, EN 319 411 (1 y 2, especialmente -1-), EN 319 412 (1 a 5, especialmente -4-) y TS 119 403-2 que a su vez subsumen las normas de CABForum «Baseline requirements» y «Extended Validation Guidelines».
Un proceso que se ha impuesto desde la entrada en vigor del Reglamento EIDAS (1) publicado en 2014 y con el que llevamos casi 10 años. Es un proceso claramente redundante que además tiene un alto grado de inseguridad jurídica porque en las discusiones de Bugzilla opinan quienes tanto tienen conocimientos adecuados como los que no los tienen, lo que lleva a veces a no permitir alegar a los prestadores cuando se les acusa de un comportamiento inadecuado y donde aparecen requisitos no escritos porque a alguien se le ocurre.
El artículo 45 dice, básicamente, que si un prestador de servicios de confianza ya se ha auditado en base a todos los requisitos que aplican y su Organismo Supervisor lo ha validado hasta el punto de incluirlo en la TSL (Lista de Servicios de Confianza), entonces los navegadores deben aceptarlo e incluirlo en sus propias listas de Confianza.
Si una vez en vigor el nuevo artículo 45 alguien (un particular, una universidad o un fabricante de navegadores) detecta un problema en un servicio de emisión de certificados europeo, solo tiene que notificarlo motivadamente al Organismo Supervisor que actuará en consecuencia solicitando información al prestador, y retirándole la confianza si fuera preciso, eliminándolo de la TSL. Seguramente se puede automatizar el aviso desde Bugzilla para que los navegadores acostumbrado a ese mecanismo no tengan que cambiar sus procedimientos.
Perdonad el poco margen de aviso de la celebración de este evento el próximo martes 7 de noviembre a las 18:00 con posibilidad de acudir telemáticamente o presencialmente al Instituto de Ingeniería de España (Madrid, Calle del General Arrando, 38, 28010). Este es el enlace de inscripción. También se puede llamar para la inscripción al 91 319 74 17.
ORGANIZADO POR:
El Comité de Sociedad Digital del Instituto de Ingeniería de España.
07 de noviembre 18:00 horas
Es posible Inscribirse a la jornada en esta página o en el 91 319 74 17
El pasado 3 de junio de 2021 la Comisión Europea propuso un marco para una identidad digital europea que estará a disposición de todos los ciudadanos, residentes y empresas en la UE. A través de sus carteras de identidad digital europea, los ciudadanos podrán demostrar su identidad y compartir documentos electrónicos, para lo cual bastará pulsar un botón en el teléfono. Su identificación digital nacional, que estará reconocida en toda Europa, les permitirá acceder a servicios online. El uso de la cartera de identidad digital europea quedará siempre a discreción del usuario. La Comisión Europea está invirtiendo 46 MEUR para probar y mejorar la billetera de identidad digital europea (EUDI) mediante el desarrollo de 4 proyectos piloto paneuropeos que probarán el uso de la billetera EUDI para individuos y empresas en una amplia gama de casos de uso cotidiano.
PROGRAMA
18:00 Bienvenida a los asistentes y presentación de la Jornada.
D. José Trigueros. Presidente del Instituto de la Ingeniería de España.
D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.
18:10 La identidad digital en las relaciones ciudadano – Administración.
D. Miguel Solano Gadea. Experto en Administración Digital. Canal ViCoTAE.
18:40 El Reglamento eIDAS2 y la Wallet de Identidad EUDI.
D. Julián Inza. Presidente de EAD Trust. Director del Laboratorio de Confianza Digital del Observatorio Legaltech & Newlaw Garrigues-ICADE.
19:10 D. Selva Orejón, CEO de onBranding, empresa especializada en la protección de la identidad de marcas y organizaciones.
19:40 Coloquio moderado por: D. Víctor Izquierdo Loyola. Presidente del Comité de Sociedad Digital del IIE.
En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).
Formando parte del Observatorio se han definido ya varios laboratorios:
Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.
Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.
Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.
Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.
Garrigues ha adquirido una participación del 51% en EAD Trust, compañía especializada en el desarrollo de productos y la prestación de servicios de confianza digital registrada como Prestador Cualificado de Servicios Electrónicos de Confianza en el Ministerio de Asuntos Económicos y Transformación Digital.
De este modo, el prestigioso despacho de abogados se posiciona en un mercado clave como es el de la confianza digital en el contexto del próximo reglamento eIDAS2 (Electronic IDentification, Authentication and Trust Services 2), una iniciativa de la Unión Europea para actualizar la normativa actual de servicios de confianza e identidad digital y conseguir un marco legal más adecuado a las necesidades de empresas y ciudadanos en una sociedad cada vez más conectada y digitalizada.
Con cerca de 15 años de historia, EAD Trust desarrolla servicios y productos digitales y proyectos a medida.
Su compromiso con la calidad y la innovación se refleja en su reconocimiento como Prestador Cualificado de Servicios Electrónicos de Confianza que opera en toda Europa, tras superar exigentes auditorías de cumplimiento, que se suman a sus certificaciones ISO 9001, ISO 27001, ISO 20000-1 y ENS de nivel medio.
La compañía emite certificados cualificados de persona física y jurídica, sellos de tiempo cualificados y certificados cualificados de sitio web, además de dar soporte a sellos y firmas electrónicas cualificadas en la nube y prestar servicios de contratación online y de interposición en las comunicaciones.
La labor de los proveedores de servicios de confianza como EAD Trust cobrará mayor relevancia con la próxima entrada en vigor del nuevo reglamento europeo –previsiblemente, este año–, que redefinirá el mercado. De hecho, este cambio regulatorio supondrá un desarrollo clave de la cartera europea de identidad digital IDUE (EUID Wallet), en la que EAD Trust está trabajando activamente.
La entrada de Garrigues en su capital supone un reenfoque estratégico para EAD Trust, que se reflejará en los próximos meses en el lanzamiento de nuevos productos y servicios para fortalecer su posicionamiento en el mercado de la confianza digital tanto en España como en el resto de los países en los que está presente el despacho.
La amplia experiencia en economía digital de Garrigues y su visión regulatoria desde todas las perspectivas del derecho de los negocios constituyen una garantía de seguridad jurídica para los nuevos productos y servicios.
Fernando Vives, presidente ejecutivo de Garrigues, destaca que “la economía digital experimenta un crecimiento sin precedentes, lo que conlleva la necesidad de asegurar la seguridad jurídica en cada transacción digital. La inversión en EAD Trust constituye un paso muy relevante en la estrategia del despacho para desarrollar y habilitar infraestructuras digitales legales en los próximos años. Confiamos en que, de la mano de EAD Trust, seremos capaces de brindar soluciones innovadoras y seguras a nuestros clientes, fortaleciendo así la confianza en las transacciones digitales”.
Julián Inza, presidente de EAD Trust, explica que “nuestra misión es impulsar la sociedad del futuro con ideas, productos y servicios capaces de minimizar aquellas transacciones que mantienen el uso de papel por si fuera necesario su valor probatorio, dado que ya es posible generar, custodiar y presentar evidencias digitales de cualquier actividad o relación con las que dar respuesta técnica a todas las necesidades jurídicas. Estamos en un mundo que necesita pasar de un paradigma físico a otro digital y es preciso garantizar la aplicabilidad de las herramientas de seguridad jurídica en ambos. Con el apoyo de Garrigues, estamos listos para pasar al siguiente nivel”.
Algunos puntos de interés:
Registrada como Prestador Cualificado de Servicios Electrónicos de Confianza por el Ministerio de Asuntos Económicos y Transformación Digital, EAD Trust es una compañía especializada en el desarrollo de productos digitales y proyectos a medida, con énfasis en su validez legal
Como resultado de esta alianza, en los próximos meses tendrá lugar el lanzamiento de nuevos productos y servicios relacionados con la confianza digital en el contexto del próximo reglamento europeo sobre identidad digital, eIDAS2
Formar parte del Grupo Garrigues representa un enorme potencial para difundir las herramientas que permiten la Transformación DIgital de la Sociedad, sin merma del valor probatorio
Hoy, 27 de abril de 2023 (cuarto jueves del mes de abril), aprovechando que es el día internacional de chicas en las TIC (International Girls in ICT Day) quiero presentaros a una persona que conozco bien y que puede ser un referente para las chicas que se empiezan a plantear su futuro y empiezan a decidir a qué se van a dedicar los próximos años. Mi sugerencia es que se podrían dedicar al mundo de las Tecnología de la Información y las Comunicaciones.
TCAB es un Organismo de Evaluación de Conformidad (en inglés «Conformity Assessment Body») especializado en auditorías relativas a Reglamento UE 910/2014 (eIdAS). Uno de los cuatro organismos acreditados en España.
TCAB ofrece servicios de evaluación de conformidad de Prestadores de Servicios Electrónicos de Confianza que deseen cumplir con el citado Reglamento UE 910/2014 (eIdAS).
La propia TCAB cumple con las normas EN 319 403 e ISO 17065 y evalúa conforme a las normas EN 319 401, EN 319 411 y EN 319 421, por citar solo las normas principales. También lleva a cabo otras auditorías y evaluaciones de seguridad.
Ainhoa Inza, se licenció en la Universidad Rey Juan Carlos con doble titulación, como Ingeniera Química y Licenciada en Administración de Empresas.
Aunque trabajó en empresas del sector químico, su mayor desarrollo profesional se ha producido en empresas del sector tecnológico convirtiéndose en una de las mayores especialistas en los aspectos tecnológicos y legales de los sistemas de confianza, en especial los derivados de la normativa europea:
En el ámbito de los negocios internacionales trabajó en el Programa ICEX, con una fase académica especializada (ICEX-CECO), otra fase focalizada en la Oficina Económica y Comercial de España en Chicago, y otra fase en actividades empresariales internacionales a su vuelta a España.
En el ámbito de la ciberseguridad, ostenta las certificaciones de ISACA:
Pensando en optimizar las auditorías de entornos Blockchain.
En relación con las actividades de TCAB con AMETIC, la patronal de la industria digital en España, Ainhoa Inza participó en la jornada informativa sobre el nuevo reglamento europeo “Cybersecurity Act”. El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»).
En el contexto del desarrollo de la Cartera IDUE de la que ya he hablado en este Blog hay varias iniciativas en marcha que contribuyen a elevar las expectativas y a acelerar el proyecto. Un gran reto para un proyecto complejo, especialmente considerando su carácter transfronterizo.
Uno de los aspectos de los que se esperan avances es el de la estandarización.
El organismo ETSI ha desarrollado diferentes normas técnicas en el contexto del Reglamento (UE) 910/2014 (EIDAS) y también está activo preparando las normas técnicas que se aplicarán una vez que se apruebe el Reglamento EIDAS 2, lo cual puede suceder antes de que se acabe el primer semestre de 2023.
Las normas orientadas a EIDAS 2 (y a la Cartera IDUE) son, entre otras, la ETSI TS 119 462, la ETSI TS 119 471 y la ETSI TS 119 472 de las que incluyo una breve explicación.
ETSI TS 119 462 Cartera IDUE – Interfaces de cartera para servicios de confianza y firma electrónica (EUDI Wallet -Wallet interfaces for trust services and electonic signature)
El objetivo de esta norma es especificar las interfaces que permiten la interacción de los servicios de cartera y los de confianza digital, incluida la firma electrónica. Más concretamente, esta norma especificará:
Una interfaz de cartera para prestadores de servicios de confianza con el fin de emitir testimonios de atributos y certificados en la cartera ;
Una interfaz del cartera para los prestadores de servicios de confianza cuando actúen como parte informante en la prestación de sus servicios;
Una interfaz para la creación de firma electrónica cuando el QSCD (dispositivo cualificado de creación de firma) sea gestionado por el Prestador de servicios de Confianza;
Otros casos de uso para la creación de firmas electrónicas y otros servicios de confianza y posibles requisitos para las interfaces;
Este elemento de trabajo tendrá en cuenta el trabajo concurrente sobre las políticas de testimonio de atributos y los perfiles de los testimonios de atributos que se recogen en otras normas, como la TS 119 471 y la TS 119 472.
TS 119 471Policy and Security requirements for Attribute Attestation Services (Política y requisitos de seguridad para los servicios de testimonio de atributos)
Imagen de la Cartera de Identidad, cortesía de Michał Tabor
El objetivo de esta futura norma de ETSI es especificar los requisitos de política y seguridad de los prestadores de servicios de confianza de testimonio de atributos y los servicios de testimonio de atributos que proporcionan.
Contendrá:
Los requisitos de política y seguridad sobre la verificación de atributos y la generación de testimonios por parte del prestador de servicios de confianza;
Los requisitos de política y seguridad sobre los servicios de validación del estado de los Testimonios de Atributos;
Los requisitos para evaluar la fiabilidad de los Testimonios de Atributos; y
Los requisitos sobre el tratamiento de datos personales.
TS 119 472Profiles for Attribute Attestations (Perfiles para los Testimonios de atributos)
El objetivo de esta norma es especificar los perfiles para los testimonios de atributos.
Más concretamente, especificará:
La Semántica para los componentes de los Testimonios de Atributos. Esto incluirá, entre otros, la información enumerada en el anexo V del Reglamento eIDAS 2.0 (pendiente de aprobación).
Vinculación de la semántica a una o más sintaxis.
La norma evaluará una serie de sintaxis tales como credenciales verificables de W3C, SAML, JWT (JSON Web Tokens), certificados de atributos X.509 (X.520) y otras.
La norma no limitará los tipos de atributos incluidos en una declaración de atributos (en relación con la identidad alegada).
Puede ser necesaria una normalización separada para definir interfaces para la gestión y el uso de Testimonios de Atributos.
Todo es electrónico 