¿Qué es la Firma Electrónica Avanzada?

Según el nuevo Reglamento 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior número 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014  describe la firma electrónica avanzada, según los requisitos descritos en el artículo 26, como la siguiente firma:

a) estar vinculada al firmante de manera única;

b) permitir la identificación del firmante;

c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y

d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Esta definición se ha visto modificada respecto a las normativas previas, tanto la ley de firma electrónica española, (Ley 59/2003, de 19 de diciembre, de firma electrónica, como de la europea (Directiva Europea 1999/93/CE de 13 de diciembre de 1999 que establecía un marco comunitario para la firma electrónica, ampliando el concepto de exclusivo control en relación con los dispositivos de creación de firma incluyendo que el firmante lo pueda utilizar con un alto nivel de confianza. El espíritu de esta nueva redacción parece estar pensando en dispositivos de creación de firma que aún estando bajo exclusivo control de firmante se ubique en dispositivos que no sean hardware, por ejemplo en software o incluso en dispositivos en la nube.

Para conocimiento de los lectores, el nuevo reglamento europeo es ya un marco de referencia para los proyectos de firma electrónica y de facto, como es un reglamento es directamente aplicable, derogando, según su artículo 50, la directiva europea 1999/93/CE con efectos a partir del 1 de julio de 2016.

¿Cuál es el efecto jurídico de las firmas electrónicas?

En la sección 4 del nuevo reglamento, artículo 25, se habla de los efectos jurídicos sobre las firmas electrónicas. El nuevo reglamento declara lo siguiente:

  1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.
  2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.
  3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Asimismo, las firmas electrónicas, con independencia de su nivel de cualificación legal, pueden ser utilizadas por las partes de una relación jurídica, con la eficacia que ellos mismos pacten. Así lo recoge el artículo 3.10 de la Ley de Firma Electrónica.

¿Cuál es la diferencia entre la firma electrónica y la firma electrónica avanzada?

La principal diferencia entre la firma electrónica y la firma electrónica avanzada es la identificación del firmante. Mientras que la firma electrónica no identifica necesariamente al firmante en la firma electrónica avanzada es un requisito indispensable.

Esta diferencia es clave en firmas de contratos o de contenido en los que el riesgo asumido es sustancial o alto o donde la legislación vigente obliga a la identificación para el “no repudio”, como puede ser el caso del sector financiero por el nuevo reglamento de blanqueo de capitales.

 

Diferencias y similitudes entre la firma electrónica avanzada y la firma electrónica avanzada cualificada?

La firma electrónica cualificada -anteriormente denominada firma electrónica reconocida- es una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.

Aunque las dos firmas se realizan con la identificación del firmante y tienen eficacia jurídica reconocida por el nuevo reglamento, solo la firma electrónica avanzada cualificada tiene la equivalencia de facto al de una firma manuscrita. No obstante ambas tipologías de firmas se basan en la misma tecnología por lo que únicamente es el certificado electrónico cualificado el que otorga esa mayor presunción legal.

¿Qué es un dispositivo cualificado de creación de firmas electrónicas?

Un dispositivo cualificado de creación de firmas electrónicas es un dispositivo de creación de firmas con unos requerimientos especiales enumerados en el Anexo II de la ley eIDAS.

¿Cuáles son los dispositivos actualmente aceptados como dispositivos cualificados?

Una lista actualizada sobre los Prestadores de Servicio Reconocidos por la legislación española sobre firma electrónica puede encontrase en el siguiente enlace del Ministerio de Industria, Energía y Turismo

A día de hoy los únicos dispositivos de creación de firma cualificados se basan en dispositivos hardware utilizados en el lado del firmante, como por ejemplo la chipetera del DNIe o algunos teclados con acceso a las tarjetas de policarbonato donde está grabado el certificado electrónico. Estos dispositivos tienen las limitaciones de usabilidad conocidas y que han sido históricamente una barrera de entrada en cualquier organización privada o pública para la realización de este tipo de firma.

Aunque el nuevo reglamento eIDAS  abre la puerta a nuevos dispositivos cualificados de creación de firma que proporcionen mayor usabilidad, por ejemplo la firma centralizada con HSM-Hardware Security Module, a día de hoy y hasta donde nosotros conocemos y estamos involucrados solo existen grupos técnicos trabajando en los futuros estándares. Para quién quiera conocer en detalle los siguientes estándares y perfiles de protección para dispositivos de creación de firma, puede consultar en Internet el trabajo elaborado por el  Grupo Técnico 224 del CEN-European Comittee for Standarization

¿Puede el Software eID realizar una firma electrónica cualificada?

Software eID dispone de todas las garantías para la realización de una firma electrónica avanzada y con métodos únicos y novedosos para evitar la personación física de las personas como los servicios CertID o VideoID.

Nuestro organización ha desestimado proveer de un servicio que requiere de hardware en el lado del firmante, puesto que es contrario a nuestra filosofía fácil de usar e integrar.

En cambio, nuestra organización ha comenzado a innovar en lo que parece será en el corto y medio plazo una variante interesante en usabilidad, que es la firma centralizada con dispositivos seguros de creación de firma centralizada HSM. En este sentido estamos trabajando cerca de la definición de los futuros estándares y ha sido una de las primeras en realizar una prueba de concepto experimental validada en un laboratorio. Aún consideramos que a este tipo de firmas no gozan todavía de los perfiles de protección adecuados según Common Criteria y un nivel de costes asequibles para el tipo de firma que queremos proponer al mercado. No obstante, si cualquier cliente está interesado en estudiar esta alternativa, con medios propios o de terceros, estamos disponibles para explicar nuestro trabajo en este sentido hasta la fecha.

¿Cualés son las principales ventajas de la firma avanzada en el Software eID?

Decimos que son cuatro las principales ventajas competitivas de nuestra firma electrónica avanzada:

Cuenta con las máximas garantías de seguridad y cumplimiento normativo. Nuestra firma electrónica avanzada se realiza con certificados electrónicos x.509 v3 y para la mejor experiencia de usuario, ha sido implementada en Adobe PDF (estándar PadES).

Nuestro software con mecanismos únicos en el mundo para realizar una identificación del firmante con garantías por medios puramente digitales, evitando la personación física requerida hasta la fecha. Véase en nuestra web los servicios CertID -identificación basándose en certificados cualificados-  y VideoID-identificación por video remoto universal. Cuando las personas ya han sido identificadas, nuestra firma electrónica es la única que implementa mecanismos de autenticación seguros fáciles de usar para usos posteriores, por ejemplo Oauth.

Decimos que es la más fácil de integrar en sus canales  y procesos. Software eID es el primer API Restful de servicios para la firma electrónica del mercado, lo que permite a cualquier organización integrar la capacidad de firma avanzada desde cualquier canal y en cualquier proceso en cuestión de horas.

La otra gran ventaja competitiva de nuestra firma es que es fácil de usar, dado que se puede realizar desde cualquier dispositivo conectado a internet y sin necesidad de instalar ningún software o plugin adicional, pudiéndose realizar esta incluso desde cualquier tablet, móvil y smartTV del mercado.

¿Tiene la firma electrónica avanzada de Software eID sello de tiempo?

La respuesta es SI. Además este sello de tiempo electrónico es cualificado, al ser ofrecido por un Prestador de Servicios Cualificado por el Ministerio de Industria para el sello de tiempo electrónico.

¿Cómo elijo el tipo de firma que necesito?

Consideramos que la decisión final acerca de qué firma electrónica utilizar en cada proceso de negocio es una decisión que debe de tomar de forma solidaria un conjunto de personas que incluyan responsables de negocio, asesores del departamento jurídico y responsables de desarrollo y de seguridad del departamento de sistemas de información o en su lugar asesores externos.

En cualquier caso la decisión dependerá de dos factores: el primero será el nivel de riesgo que puede cubrir la aceptación de un contenido o contrato con  la firma electrónica: no es lo mismo un proceso de contratación telefónico, donde el riesgo de impago y la cantidad son limitadas, que el riesgo de una póliza de millones de euros y considerada de alto riesgo en la organización. El segundo factor depende de si existe o no legislación vigente que regule el sector. Por ejemplo el sector financiero está regulado por el nuevo reglamento de blanqueo de capitales que obliga a que los clientes no conocidos sean identificados previo a la realización de cualquier negocio. La firma en este proceso, por tanto, tiene un obligado cumplimiento en la identificación del firmante. Por ejemplo, todo el sector de servicios esta regulado en la domiciliaciones bancarias por la ley SEPA, desde febrero de 2014 todos los prestadores de servicios al consumidor, para domiciliar un mandato deben de recoger la aceptación formal por parte del cliente, sin embargo está ley no obliga específicamente a la identificación del firmante y una firma electrónica simple podría ser suficiente.

¿Vale la firma electrónica avanzada para el cumplimiento del nuevo reglamento de blanqueo de capitales?

La respuesta es SÍ. La firma electrónica avanzada realizada con el Software eID cumple con la nueva legislación y sus consiguientes requerimientos respecto a la identificación formal.

Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. enlace

Capítulo II. De diligencia debida, sección 1. Medidas normales de diligencia debida. Artículo 4. Identificación formal. Artículo 5. Identificación formal en el ámbito del seguro, Artículo 6. Documentos fehacientes a efectos de identificación formal.

Artículo 147. Medidas simplificadas de diligencia debida.

Sección 3.Medidas reforzadas de diligencia debida

Artículo 21.Requisitos en las relaciones de negocio y operaciones no presenciales.

¿Vale la firma electrónica avanzada para recoger la aceptación de la nueva ley de consumidores y usuarios?

La respuesta es SI, puesto que cuenta con todas las garantías del nuevo reglamento europeo de firma electrónica.

Sin embargo, es posible que también la firma electrónica simple, con un coste inferior y adaptada también al canal telefónico pueda ser suficiente para recoger cualquier aceptación formal por parte de clientes.

¿Vale la firma electrónica avanzada para cumplir con la legislación SEPA?

La respuesta es SI, puesto que cuenta con todas las garantías del nuevo reglamento europeo de firma electrónica.

Sin embargo, es posible que también la firma electrónica simple, con un coste inferior y adaptada también al canal telefónico pueda ser suficiente para recoger cualquier aceptación formal por parte de clientes.

¿Cómo identifico a personas por medios puramente digitales?

El Software eID proporciona dos métodos de identificación totalmente novedosos y validos para identificar personas no conocidas por medios digitales. Ambos métodos cumplen con el nuevo reglamento y ofrecen máximas garantías para el “no repudio” con la firma electrónica avanzada.

El primero se denomina CertID y en un solo clic permite identificar a personas que tengan instalado un certificado electrónico reconocido como el DNIe o el certificado de la FNMT en su computador. Existen más de 6 millones de personas que tienen este certificado instalado en su computador y este método es muy fácil de usar si su target es este tipo de personas.

El segundo es la identificación con Video ID, un novedoso sistema que permite la verificación presencial remota desde cualquier dispositivo conectado a Internet y con una cámara.

Si lo desea, puede acceder al apartado de Servicios de Identificación del menú SOFTWARE de nuestra web o solicitar una demo de producto para poder ver Casos de Uso en directo.

¿Sirve la firma electrónica avanzada de Software eID para dar cobertura a la ley 11/2007 de acceso electrónico a los ciudadanos a los servicios públicos?

La respuesta es SI.

El capítulo II de la Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los servicios públicos, describe los métodos de identificación y autenticación.

El artículo 13 establece las formas de identificación y autenticación, entre las que se encuentran.

1.Las Administraciones Públicas admitirán, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica y resulten adecuados para garantizar la identificación de los participantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2.Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con las Administraciones Públicas, de acuerdo con lo que cada Administración determine:

a)En todo caso, los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, para personas físicas.

b)Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones Públicas.

c)Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

3.Las Administraciones Públicas podrán utilizar los siguientes sistemas para su identificación electrónica y para la autenticación de los documentos electrónicos que produzcan:

a)Sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro o medio equivalente que permita identificar la sede electrónica y el establecimiento con ella de comunicaciones seguras.

b)Sistemas de firma electrónica para la actuación administrativa automatizada.

c)Firma electrónica del personal al servicio de las Administraciones Públicas.

d)Intercambio electrónico de datos en entornos cerrados de comunicación, conforme a lo específicamente acordado entre las partes.

Artículo 15. Utilización de sistemas de firma electrónica avanzada.

  1. Los ciudadanos, además de los sistemas de firma electrónica incorporados al Documento Nacional de Identidad, referidos en el artículo 14, podrán utilizar sistemas de firma electrónica avanzada para identificarse y autenticar sus documentos.

La relación de sistemas de firma electrónica avanzada admitidos, con carácter general, en el ámbito de cada Administración Pública, deberá ser pública y accesible por medios electrónicos. Dicha relación incluirá, al menos, información sobre los elementos de identificación utilizados…

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies