eID | Consideraciones al Exclusivo Control

El nuevo reglamento europeo sobre Identificación Digital y Firma electrónica (comúnmente denominado eIDAS) introduce algunos matices sobres las leyes actuales de firma electrónica que permiten aumentar la usabilidad con el uso de la identificación y la firma. Este artículo describe como nuestro software eID lidia con ellos, especialmente con los referentes al exclusivo control de firmante sobre los datos de creación de firma. El artículo ofrece además algunas consideraciones a nuestros clientes para que tengan en cuenta en la implantación de su solución.

El reglamento eIDAS declara en su artículo 26 como se debe de realizar una firma electrónica avanzada:

Requisitos para firmas electrónicas avanzadas Una firma electrónica avanzada cumplirá los requisitos siguientes:

a) estar vinculada al firmante de manera única;

b) permitir la identificación del firmante;

c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Respecto a las ley de firma electrónica actual 59/2003, que se regula en el artículo 3 Firma Electrónica y documentos firmados electrónicamente, el eIDAS introduce el matiz  nuevo e interesante con el “alto nivel de confianza”, bajo su exclusivo control. Este “Alto nivel de confianza” permite en general algunas licencias sobre la situación actual de simplemente “exclusivo control”. Esta diferencia entre exclusivo control o alto nivel de confianza en el exclusivo control permite pensar en soluciones alternativas a las actuales, como podréis comprobar con nuestro software.

Asimismo, debemos señalar que el Anexo II que regula los dispositivos de creación de firma electrónica, indica en su punto 4, que:

“Sin perjuicio de la letra d) del punto 1, los prestadores de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

a)  la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b)  el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

Por tanto, parece que el propio anexo está estableciendo como un mecanismo para utilizar un dispositivo cualificado de creación de firma, en el que los datos de creación de la mismas puedan estar “gestionados” por un prestador de servicios. Por tanto, vemos un ejemplo en el cual los datos de creación de firma no estarían bajo el exclusivo control del firmante; si bien, no disminuye la cualificación del dispositivo.

Consideraciones para construir un alto nivel de confianza en el exclusivo control de los datos de creación de firma con nuestro  API eID.

El alto nivel de confianza en el exclusivo control de los datos para la creación de la firma electrónica lo ofrece el código PIN (Clave Privada) del certificado electrónico del usuario. Este PIN solo él lo conoce y lo debe de elegir y recordar previo a la expedición del certificado con las librerías del API referentes a la gestión de vida del certificado y en concreto para la solicitud y expedición del mismo. En términos de usabilidad recomendamos el uso de un PIN tradicional de 4 cifras, sin embargo y si el departamento de seguridad lo requiere, este código puede construirse con el nivel de complejidad que cada cliente requiera.

Con el ánimo de aumentar el nivel de confianza y pruebas electrónicas sobre en el exclusivo control recomendamos altamente, previo a la selección del código PIN, involucremos al usuario enviando un correo electrónico certificado con un token único, aleatorio y automático (doble autenticación automática). Pregunten al soporte si tienen dudas. La traza del correo certificado (integridad del contenido y acuso de recibo al mail y al clic sobre la url, dirección ip y cliente de correo) es una evidencia electrónica que incrementa la fiabilidad sobre los requisitos en cuestión. Este método es un ejemplo que vemos interesante añadir al proceso de expedición -también puede realizarse con el uso del certificado para la firma- sin perder un ápice de usabilidad en los procesos, ya que la autenticación puede realizarse de forma automática con el token en el propio enlace incluido en el correo electrónico.

Adicionalmente a este planteamiento y con el objetivo de aumentar todavía más este nivel de confianza, podríamos usar el servicio de SMS para enviar un código PIN aleatorio e impredecible al usuario para que lo insertara, añadido a la autenticación del correo electrónico certificado y a la clave privada (PIN del certificado) , al proceso de seguridad y fiabilidad. Este doble factor de autenticación podría ser usado también, tanto previo a la expedición del certificado como en cada uno de sus usos en la firma electrónica de un documento.
 
Por usabilidad no lo recomendamos, pero por último podría existir una alternativa donde el proceso de expedición del certificado podría tener lugar en una de nuestras páginas, con la imagen corporativa de cada cliente. 
 
Adicionalmente tenemos la posibilidad desde las opciones de usuario del dashboard, la posibilidad de notificar al usuario del certificado con un correo electrónico simple que se registra en el módulo de trazabilidad de cara a costar como prueba en la expedición, uso, consulta o revocación del certificado. Uno de los objetivos de estas notificaciones es demostrar que en los procesos de uso del certificado para la firma no existe un uso potencial malicioso.
Equipo de Soporte
support@electronicid.eu

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies