Reglamento eIDAS: Requisitos para operar con un alto nivel de confianza

El nuevo reglamento europeo sobre Identificación Digital y Firma electrónica o Reglamento eIDAS introduce algunos matices sobre las leyes actuales de firma electrónica que permiten aumentar la usabilidad con el uso de la identificación y la firma electrónica lo que supone un cambio de paradigma para la firma electrónica y la identificación digital en Europa.

Este artículo describe como nuestro software eID lidia con el Reglamento eIDAS, especialmente con lo referente al exclusivo control de firmante sobre los datos de creación de firma. El artículo ofrece además algunas consideraciones a tener en cuenta en la implantación de la solución.

eIDAS: Requisitos para firmas electrónicas avanzadas

 

El Reglamento eIDAS establece que la firma electrónica avanzada cumplirá los requisitos siguientes:

a) Estar vinculada al firmante de manera única;

b) Permitir la identificación del firmante;

c) Haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo.

d) Estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

Si tenéis preguntas sobre esto no dudéis en conocer todas las respuestas sobre la firma electrónica avanzada.

Matiz de alto nivel de confianza en eIDAS

 

Respecto a las ley de firma electrónica actual 59/2003, que se regula en el artículo 3 Firma Electrónica y documentos firmados electrónicamente, el Reglamento eIDAS introduce el matiz nuevo e interesante con el “alto nivel de confianza”, bajo su exclusivo control. Esta diferencia permite pensar en soluciones alternativas a las actuales, como podréis comprobar con nuestro software.

Asimismo, debemos señalar que el Anexo II del Reglamento eIDAS que regula los dispositivos de creación de firma electrónica, indica en su punto 4, que:

“Sin perjuicio de la letra d) del punto 1, los prestadores de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente para efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

 

a)  La seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

 

b)  El número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.”

Por tanto, parece que el propio anexo se está estableciendo como un mecanismo para utilizar un dispositivo cualificado de creación de firma, en el que los datos de creación de la mismas puedan estar “gestionados” por un prestador de servicios.

Por tanto, vemos un ejemplo en el cual los datos de creación de firma no estarían bajo el exclusivo control del firmante; si bien, no disminuye la cualificación del dispositivo.

Construir un alto nivel de confianza con nuestro API eID

 

El alto nivel de confianza en el exclusivo control de los datos para la creación de la firma electrónica lo ofrece el código PIN (Clave Privada) del certificado electrónico del usuario. Este PIN solo él lo conoce y lo debe de elegir y recordar previo a la expedición del certificado con las librerías del API referentes a la gestión de vida del certificado y en concreto para la solicitud y expedición del mismo.

En términos de usabilidad recomendamos el uso de un PIN tradicional de 4 cifras, sin embargo y si el departamento de seguridad lo requiere, este código puede construirse con el nivel de complejidad que cada cliente requiera.

Con el ánimo de aumentar el nivel de confianza y pruebas electrónicas que en el exclusivo control involucaremos al usuario enviando un correo electrónico certificado con un token único, aleatorio y automático (doble autenticación automática).

 

La traza del correo certificado (integridad del contenido y acuso de recibo al mail y al clic sobre la url, dirección ip y cliente de correo) es una evidencia electrónica que incrementa la fiabilidad sobre los requisitos en cuestión.

 

Este método es un ejemplo que vemos interesante añadir al proceso de expedición -también puede realizarse con el uso del certificado para la firma- sin perder un ápice de usabilidad en los procesos, ya que la autenticación puede realizarse de forma automática con el token en el propio enlace incluido en el correo electrónico.

Adicionalmente a este planteamiento y con el objetivo de aumentar todavía más este nivel de confianza, podríamos usar el servicio de SMS para enviar un código PIN aleatorio e impredecible al usuario para que lo insertara.

Este doble factor de autenticación podría ser usado también, tanto previo a la expedición del certificado como en cada uno de sus usos en la firma electrónica de un documento.

Por usabilidad no lo recomendamos, pero por último podría existir una alternativa donde el proceso de expedición del certificado podría tener lugar en una de nuestras páginas, con la imagen corporativa de cada cliente.

Adicionalmente, tenemos la posibilidad desde las opciones de usuario del dashboard, de notificar al usuario del certificado con un correo electrónico simple que se registra en el módulo de trazabilidad de cara a costar como prueba en la expedición, uso, consulta o revocación del certificado.

Uno de los objetivos de estas notificaciones es demostrar que en los procesos de uso del certificado para la firma no existe un uso potencial malicioso.

Si quieres saber más sobre el Reglamento 910/2014, conocido comúnmente como Reglamento eIDAS aquí se encuentran todas sus directrices.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies