Prácticas del Servicio de Identificación Electrónica

 

 
Electronic IDentification
Prácticas del Servicio de Identificación Electrónica
 
01/10/2015

Este documento describe la política y prácticas de seguridad del STRI, Servicio Telemático de Registro e Identificación al amparo de la Declaración de Prácticas de Certificación (DPC) general utilizada para la gestión y uso de certificados electrónicos.

Las prácticas de seguridad se rigen según la definición de niveles de seguridad recogida en el Anexo del REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN de 8 de septiembre de 2015 sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica.

 

Prácticas del servicio

Aceptación expresa de los términos y condiciones del sistema.

Usted debe de aceptar expresamente los términos y condiciones del sistema de identificación, según lo que establece la legislación vigente en materia de identificación y firma electrónica y protección de datos de carácter personal. El mensaje es el siguiente:

Términos y Condiciones del Sistema de Identificación

Al hacer clic en el botón Aceptar está usted aceptando expresamente estos términos y Condiciones del Sistema y la Declaración de Buenas Prácticas del Servicio, accesibles en el siguiente enlace:

http://www.electronicid.eu/?p=2577

 

POR FAVOR, TENGA PREPARADO SU DOCUMENTO DE IDENTIDAD, es un elemento imprescindible para este proceso de Registro e Identificación. La aplicación le guiará en el proceso.

El sistema de registro e identificación es un servicio ofrecido por CSL, operado por Electronic IDentification. El sistema es un sistema de identificación electrónica por video remoto operado por un Civitana SL, propietaria de Electronic Identificación y Prestador de Servicios de Certificación según la legislación vigente en materia de Identificación Digital y Firma Electrónica y protección de datos de carácter personal, donde Civitana SL desempeña el rol de encargado del tratamiento de los mismos.

El sistema va a grabar una serie de imágenes, incluyendo su cara y su documento de identidad nacional. La secuencia de imágenes permitirán realizar un proceso de verificación de identidad con un nivel de confianza alta por nuestra Autoridad de Registro. El proceso está conforme con las especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica publicados a través REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN de 8 de septiembre de 2015 y en relación con el artículo 24 del nuevo reglamento 910/2014 del parlamento europeo y del consejo de 23 de julio de 2014 relativo a la Identificación digital y firma electrónica europeo (eIDAS)

Proceso de Registro

El proceso de registro se realiza a través de una tecnología novedosa basada en navegador web denominada Video ID. Video ID es un método de identificación por video remoto que simula el acto de personación en el local físico de una Autoridad de Registro u Oficina Comercial pero en el canal online.

Para el inicio del proceso de registro usted hace clic en un botón de una página web. El navegador le solicita que acepte el uso de su cámara.

Tras la aceptación, la aplicación le guía para que muestre el anverso de su documento de identidad. Tras unos segundos la aplicación le solicitara mostrar el reverso del documento de identidad. En el último paso, la aplicación le solicitara que se posicione en la cámara y centre su cara, de forma que está pueda ser grabada.

Por último, la aplicación le solicitara una dirección personal de correo electrónico y un número de teléfono móvil.

Con la grabación del video y la recogida de sus datos una persona formada y cualificada de realizar el proceso de verificación de la identidad y la autenticidad de la fuente de identidad –documento de identidad-. Si el proceso no es conforme desencadena un proceso para informarle. Si es conforme, el proceso continuo para el usuario con el siguiente paso.

Finalización del proceso de identificación.

Recibirá un correo electrónico de conformidad solicitando que haga clic en un enlace único, aleatorio y temporal. De forma simultánea el sistema envía le enviara un mensaje SMS con un código token único de 6 cifras aleatorio e impredecible.

El enlace le presentara la información para finalizar el proceso al introducir el código token enviado por SMS. La aplicación comprueba a través de una doble autenticación con el enlace del correo electrónico y el código token del SMS. El proceso ha finalizado.

Funcionamiento del servicio en los sistemas del prestador

El API eID ofrece todos los servicios tecnológicos necesarios para efectuar el servicio (identificación por video remoto, correo electrónico certificado, envío mensaje SMS y expedición de certificado electrónico y firma electrónica si es el caso) y registra en el tiempo todas las evidencias del proceso.

Proceso de Verificación de la Identidad por la Autoridad de Registro.

Una vez que el video es grabado en el proceso de registro es verificado por personas cualificadas de la Autoridad de Registro (AR). La AR verifica la identidad de las personas realizando un chequeo de los siguientes puntos:

Autenticidad del Documento de Identidad. La autenticidad del documento de identidad se realiza en los siguientes puntos:

  • Chequeo y verificación de las imágenes y criptogramas del documento de identidad a través de tecnología de comparación de imágenes – pattern macthing-;
  • Chequeo y verificación de la integridad y unicidad del número del documento;
  • Chequeo y verificación de la integridad MRZ-Machine Readable Zone
  • Vigencia del documento de identidad.

De forma visual, las personas de la AR chequean y verifican que las imágenes del documento de identidad presumen de autenticidad visionando el propio documento, las marcas de agua, metal del chip de la tarjeta inteligente.

Verificación de la identidad de la persona. Las personas de la AR revisan el video grabado y verifican la identidad de la persona a través de la comparación y vinculación de las imágenes grabadas de la persona con la fotografía del documento de identidad.

El proceso de verificación puede ser conforme o no.

Datos de carácter personal

El proceso utiliza tecnología que registra todas las evidencias electrónicas del proceso de registro e identificación.

Las evidencias del proceso son guardadas temporalmente y de forma segura en el módulo de trazabilidad.

Las evidencias guardadas son las siguientes:

  1. Video Proceso de Registro:
    1. código seguro único de verificación de la transacción,
    2. video en formato mp4,
    3. código único de identificador del video,
    4. fecha y hora de la grabación
    5. dirección ip pública desde donde se ha realizado el proceso
  2. Proceso de Verificación de la Identidad por la Autoridad de Registro:
    1. código seguro único de verificación de la transacción,
    2. Identificador Único de la Identidad
    3. Número de Documento de Identidad
    4. Nombre
    5. Primer apellido
    6. Segundo apellido
    7. Fecha Expiración Documento de IDentidad
    8. Correo Electrónico
    9. Número de Teléfono Móvil
    10. Identificado único del video
    11. Video en formato mp4
    12. Fecha y hora de la verificación
    13. Imagen digitalizada del reverso del documento de identidad
    14. Imagen digitalizada del anverso del documento de identidad
    15. Imagen de la cara de la persona extraída por OCR del documento de identidad
    16. Imagen del apartado MRZ, extraído por reconocimiento óptico de caracteres
    17. dirección ip pública desde donde se ha realizado el proceso
  3. Correo Electrónico Enviado
    1. Id código seguro único de verificación de la transacción,
    2. Identificador Único del correo electrónico
    3. Identificador Único de la Identidad
    4. Enviado desde
    5. Enviado a
    6. Asunto
    7. Credenciales persona
    8. Prueba de Integridad del Contenido Enviado (pdf html firmado)
    9. Fecha y hora del Envío
    10. Prueba Acuse de Recibo (opcional)
  4. Mensaje SMS Enviado
    1. Id código seguro único de verificación de la transacción,
    2. Identificador Único del mensaje
    3. Credenciales
    4. Teléfono móvil
    5. Identificador Único de la Identidad
  5. Correo Electrónico Verificado
  6. SMS Verificado

Estado de Desarrollo

La tecnología que utiliza el STRI está en un nivel 8 sobre nueve en los Niveles de Disposición de Tecnología (TRL-Technology Readiness Level) TRL8-Sistema Completo y Cualificado.

Especificaciones de seguridad y cumplimiento del sistema de identificación

La solicitud del servicio se basa en los requerimientos declarados en el artículo 24 del nuevo reglamento de identificación digital y firma electrónica europeo (eIDAS), en concreto al punto 1. Sección b)

– Artículo 24-

Requisitos para los prestadores cualificados de servicios de confianza

  1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

  1. en presencia de la persona física o de un representante autorizado de la persona jurídica, o
  2. a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

el nivel de seguridad sustancial se referirá a un medio de identificación electrónica, en el contexto de un sistema de identificación electrónica, que establece un grado sustancial de confianza en la identidad pretendida o declarada de una persona y se describe en referencia a las especificaciones técnicas, las normas y los procedimientos del mismo, entre otros los controles técnicos, y cuyo objetivo es reducir sustancialmente el riesgo de uso indebido o alteración de la identidad;

 

Adicionalmente el servicio otorgaría un nivel de seguridad alto, según la definición de niveles de seguridad recogida en el Anexo del REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN de 8 de septiembre de 2015 sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica.

 

REGLAMENTO DE EJECUCIÓN (UE) 2015/1502 DE LA COMISIÓN de 8 de septiembre de 2015 sobre la fijación de especificaciones y procedimientos técnicos mínimos para los niveles de seguridad de medios de identificación electrónica.

Especificaciones y procedimientos técnicos

2.1. Inscripción

2.1.1. Solicitud y registro

Nivel de seguridad Elementos necesarios ¿Cómo cumplimos?
Bajo 1)      Asegurarse de que el solicitante conozca los términos y condiciones relacionados con el uso de los medios de identificación electrónica.2)      Asegurarse de que el solicitante conozca las precauciones de seguridad recomendadas relacionadas con los medios de identificación electrónica.

3)      Recopilar los datos de identidad pertinentes necesarios para la prueba y verificación de la identidad.

Es un requisito indispensable que el solicitante conoce y acepta expresamente los términos y condiciones y las precauciones de seguridad recomendadas relacionadas con el uso de los medios de identificación electrónica del STRI previo al lanzamiento del proceso de inscripción y registro.

La aplicación guiada de recopila los datos de identidad a través del documento nacional de identidad para la prueba y verificación de la identidad.

Sustancial Igual que el nivel bajo. Igual que el nivel bajo.
Alto Igual que el nivel bajo. Igual que el nivel bajo.

 

 

2.1.2. Prueba y verificación de la identidad (persona física)

Nivel de seguridad Elementos necesarios ¿Cómo cumplimos?
Bajo 1)    Se puede suponer que la persona está en posesión de pruebas reconocidas por el Estado miembro en el que se realiza la solicitud de los medios de identificación electrónica y que representan la identidad reclamada.2)    Se puede suponer que las pruebas son auténticas o que existen según una fuente auténtica y las pruebas parecen ser válidas.

3)    Una fuente auténtica sabe de la existencia de la identidad reclamada y se puede suponer que la persona que reclama la identidad es la misma persona.

1)    Es un elemento indispensable la posesión del documento de identidad como prueba reconocida por el Estado Miembro para el proceso de inscripción y registro del servicio.2)    En el proceso de verificación por personas cualificadas por la Autoridad de Registro se supone que el documento de identidad es auténtico y existe según una fuente auténtica. Se validan determinados datos sobre la autenticidad del dni, como la integridad del número de identificación, los patrones de imagen y el código MRZ. Adicionalmente una persona cualificada de la AR realiza pruebas a través de una comprobación visual que determinan con una alta fiabilidad que la prueba parece ser válida.

3)    Las personas de la Autoridad de Registro saben de la existencia de la identidad reclamada y suponen que la persona que reclama la identidad es la misma persona a través de la comparación en el video de la imagen viva de la persona y su imagen en el documento de identidad.

Sustancial Nivel bajo y, además, se debe cumplir una de las alternativas indicadas en los puntos 1 a 4:1)      se ha verificado que la persona está en posesión de pruebas reconocidas por el Estado miembro en el que se realiza la solicitud de los medios de identificación electrónica y que representan la identidad reclamada,

así como

las pruebas se comprueban para determinar que son auténticas o, según una fuente auténtica, se sabe de su existencia y están relacionadas con una persona real,

así como

se han tomado medidas para reducir al mínimo el riesgo de que la identidad de la persona no sea la identidad reclamada, teniendo en cuenta, por ejemplo, el riesgo de pruebas perdidas, robadas, suspendidas, revocadas o expiradas;

o bien

2)      se presenta un documento de identidad durante un proceso de registro en el Estado miembro en el que se ha expedido el documento y el documento está referido a la persona que lo presenta,

así como

se han tomado medidas para reducir al mínimo el riesgo de que la identidad de la persona no sea la identidad reclamada, teniendo en cuenta, por ejemplo, el riesgo de documentos perdidos, robados, suspendidos, revocados o expirados;

o bien

3)      cuando los procedimientos utilizados anteriormente por una entidad pública o privada en el mismo Estado miembro para una finalidad distinta de la expedición de medios de identificación electrónica ofrecen una seguridad equivalente a la que proporcionan los establecidos en la sección 2.1.2 para el nivel de seguridad sustancial, no es necesario que la entidad responsable del registro repita esos primeros procedimientos, siempre que dicha seguridad equivalente esté confirmada por un organismo de evaluación de la conformidad de los que se hace referencia en el artículo 2, apartado 13, del Reglamento (CE) no 765/2008 del Parlamento Europeo y del Consejo o por un organismo equivalente;

o bien

4)      en los casos en que los medios de identificación se expidan sobre la base de un medio de identificación electrónica notificado válido que tenga el nivel de seguridad sustancial o alto, y teniendo en cuenta los riesgos de que se produzca un cambio en los datos de identificación de la persona, no es necesario repetir los procesos de prueba y verificación de la identidad; cuando los medios de identificación electrónica que sirven de base no se han notificado, el nivel de seguridad sustancial o alto deberá ser confirmado por un organismo de evaluación de la conformidad de los que se hace referencia en el artículo 2, apartado 13, del Reglamento (CE) nº 765/2008 o por un organismo equivalente.

Los elementos necesarios para el nivel bajo y adicionalmente cumpliendo con la alternativa 1 de la siguiente forma: 

§  El video permite conocer si la persona está viva y está sosteniendo y mostrando el documento de identificación nacional que representa la identidad reclamada;

§  La calidad de la imagen extraída permite confirmar el tipo de documento así como determinados aspectos de su autenticidad. Deja ver sus datos y características diferenciadoras del Estado miembro, como marcas de agua, criptogramas o la aparente autenticidad de metal del chip si es una tarjeta inteligente.

§  El video permite verificar la relación del documento con la persona real que realiza el proceso de inscripción y llegar a una conclusión para confirmar que la persona es quien reclama ser a través de la posibilidad de verificar la cara de la persona en el video y su relación con la fotografía en su documento.

§  Con las imágenes del video, la foto de la persona en el documento de identidad, los criptogramas característicos mostrados en el documento de identidad, los datos de caducidad extraídos y la comprobación algorítmica del número de documento de identidad, se obtiene un alto nivel de certeza de que el documento pertenece a quien lo muestra y por lo tanto la fuente auténtica sabe de su existencia reduciendo así al mínimo el riesgo de que la identidad de la persona no sea la identidad reclamando y teniendo en cuenta, por ejemplo el riesgo de pruebas perdidas, robadas, suspendidas, revocadas o expiradas.

Alto Deben cumplirse los requisitos del punto 1 o 2:1)      Nivel sustancial y, además, se debe cumplir una de las alternativas indicadas en las letras a) a c):

a)      cuando se ha verificado que la persona está en posesión de pruebas de identificación fotográficas o biométricas reconocidas por el Estado miembro en el que se realiza la solicitud de los medios de identificación electrónica y si esas pruebas representan la identidad reclamada, se comprueban las pruebas para determinar que son válidas según una fuente auténtica,

así como

se identifica al solicitante como la identidad reclamada por medio de la comparación de una o más características físicas de la persona con una fuente auténtica;

o bien

b)      cuando los procedimientos utilizados anteriormente por una entidad pública o privada en el mismo Estado miembro para una finalidad distinta de la expedición de medios de identificación electrónica ofrecen una seguridad equivalente a la que proporcionan los establecidos en la sección 2.1.2 para el nivel de seguridad alto, no es necesario que la entidad responsable del registro repita esos primeros procedimientos, siempre que dicha seguridad equivalente esté confirmada por un organismo de evaluación de la conformidad de los que se hace referencia en el artículo 2, apartado 13, del Reglamento (CE) no 765/2008 o por un organismo equivalente,

así como

se toman medidas para demostrar que los resultados de los procedimientos anteriores siguen siendo válidos;

o bien

c)      en los casos en que los medios de identificación se expidan sobre la base de un medio de identificación electrónica notificado válido que tenga el nivel de seguridad alto, y teniendo en cuenta los riesgos de que se produzca un cambio en los datos de identificación de la persona, no es necesario repetir los procesos de prueba y verificación de la identidad; cuando los medios de identificación electrónica que sirven de base no se han notificado, el nivel de seguridad alto deberá ser confirmado por un organismo de evaluación de la conformidad de los que se hace referencia en el artículo 2, apartado 13, del Reglamento (CE) no 765/2008 o por un organismo equivalente,

así como

se toman medidas para demostrar que los resultados de este procedimiento anterior de expedición de un medio de identificación electrónica notificado siguen siendo válidos.

o bien

2)      en caso de que el solicitante no presente ninguna prueba de identificación fotográfica o biométrica reconocida, se aplicarán los mismos procedimientos utilizados a escala nacional en el Estado miembro de la entidad responsable del registro para obtener las pruebas de identificación fotográfica o biométrica reconocidas.

El proceso de verificación por la Autoridad de Registro tiene en cuenta la posesión de pruebas de identificación fotográficas para constatar que la identidad reclamada comparando las características físicas de la persona que inicia el proceso de registro en video con la fotografía del documento de Identidad, como fuente auténtica. 

Adicionalmente el proceso de registro e identificación obtiene pruebas electrónicas por terceros que ayudan de forma indirecta a la identificación de la persona que inicia el proceso de registro.

 

Evidencia electrónica proporcionada por un prestador de servicios de telecomunicaciones a través de un código único, aleatorio e impredecible. El sistema envía un mensaje SMS con un código token al móvil proporcionado por el usuario. Esté código token insertado por el usuario en la aplicación, permite comprobar la posesión de un elemento físico en el momento de la identificación.

 

La capacidad de llegar a la identidad real del usuario a través de estas pruebas electrónicas aumenta la fiabilidad y seguridad del sistema, así como disminuye el riesgo a un potencial uso mal intencionado.

 

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies