Incidentes de seguridad en entornos de firma electrónica tras el #eIDAS

El Reglamento (UE) Nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS) prevé la notificación de Incidentes de seguridad, según se recoge en el artículo 19.2 .

Los prestadores de servicios  electrónicos de confianza, cualificados y no cualificados, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión (en España, el Ministerio de Energía, Turismo y Agenda Digital) y, en caso pertinente, a otros organismos relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos (en España, la Agencia de Protección de Datos), cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

Asimismo, cuando la violación de seguridad o la pérdida de integridad puedan afectar a una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza debe notificar el incidente a la persona física o jurídica afectada.

Acceso al procedimiento de notificación.

Notificaciones que deben remitir a la SESIAD los prestadores de servicios electrónicos de confianza que inicien o presten servicios de confianza cualificados y no cualificados.

Supervisión contemplada en el Reglamento (UE) Nº 910/2014, en la Ley 59/2003 de Firma Electrónica.

Las normas de firma electrónica y el Reglamento #EIDAS

Las primeras regulaciones de la firma electrónica tienen su origen en Estados Unidos, y en los trabajos de organismos internacionales como la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI).

De las Naciones Unidas son la Ley Modelo sobre Comercio Electrónico (1996) y la Ley Modelo para las Firmas Eléctrónicas (2001).

En el ámbito europeo, la regulación común se ha basado hasta el año 2016 en la Directiva 1999/93/ CE, por la que se establece un marco comunitario para la firma electrónica, y en la Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la Sociedad de la Información, en particular el comercio electrónico.

Con fecha 23 de Julio de 2014 y publicación en el Diario Oficial de la Unión Europea (DOUE) el 28 de agosto de 2014, el Parlamento Europeo y el Consejo de la Unión Europea han adoptado el Reglamento 910/2014 (identificado con la etiqueta #eIdAS), relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

La derogación de la Directiva conllevaría la derogación de las Leyes nacionales desarrolladas por mandato de la citada Directiva, pero en la práctica, esta derogación no es expresa y plantea problemas de interpretación cuando un artículo de la Ley (en España la Ley 59/2003) entra en conflicto con el Reglamento, que es de directa aplicación.

A partir del 1 de Julio de 2016 (art. 50),  se establece un régimen transitorio hasta el 1 de julio de 2017, en el que los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo a la nueva normativa.

En este período, los certificados reconocidos de persona física expedidos con anterioridad se considerarán certificados cualificados de persona física conforme al nuevo reglamento hasta que caduquen. Sin embargo, los certificados reconocidos de persona jurídica expedidos con anterioridad NO se considerarán certificados cualificados conforme al nuevo reglamento.

En el mismo sentido, desde el 1 de julio de 2016 hasta el 1 de julio de 2017,  los Prestadores de Servicios de Certificación que emiten certificados reconocidos de persona física pueden seguir prestando el servicio y manteniendo la consideración de Prestadores de Servicios Electrónicos de Confianza cualificados,  si bien para mantener esa consideración a partir del 1 de julio de 2017 deben presentar al organismo supervisor (el MINETAD) un informe de evaluación (Conformity Assessment Report) realizado por una entidad de evaluación de conformidad acreditada ante el organismo de acreditación de cada país (en España, ENAC).

La nueva normativa amplía el marco regulatorio de la Directiva 1999/93/CE, con interacciones con la normativa en materia de protección de datos, con la de sanidad electrónica intercomunitaria, con la de Ciberseguridad, con la de prevención del blanqueo de capitales y con la Segunda Directiva de Pagos.

El Reglamento #eIdAS obliga a las Administraciones Públicas en todo el ámbito de la Unión Europa, a aceptar los servicios electrónicos de confianza cualificados prestados por Proveedores de otros estados miembros, y, especialmente a aceptar los sistemas de identificación y autenticación notificados.

De esta forma pretende las barreras existentes para el uso transfronterizo de los medios de identificación electrónica utilizados en los Estados miembros para autenticar al menos en los servicios públicos, y obligando a que los sistemas nacionales de identificación electrónica notificados (insistimos, notificados) sean admitidos en todos los Estados miembros.

A la difuminación de barreras transfronterizas contribuirá la creación de una marca común de confianza que pueden ostentar los Prestadores de Servicios Electrónicos de Confianza cualificados. La marca de confianza se ha creado mediante el Reglamento de Ejecución (UE) 2015/806 de la Comisión de 22 de mayo de 2015 por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados.

También contribuye al acceso transfronterizo la creación de un sistema técnico de referencia que señala todos los prestadores cualificados de la unión europea de forma que puede automatizarse la obtención del censo de prestadores de servicios electrónicos de confianza cualificados en virtud de las listas Trusted Services List – TSL. Estas TSL, en su versión más actualizada (puesto que hubo otra versión desarrollada al amparo de la Directiva 1999/93CE) se imponen por Decisión de Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

 

 

¿Cuantos tipos de firma avanzada existen?

El Reglamento (UE) 910/2014 (EIDAS) define tres tipos de firma electrónica:

  • «firma electrónica (simple)», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
  • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única.
    • permitir la identificación del firmante.
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
  • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.

La firma electrónica avanzada puede ser:

  • No basada en certificados. En cuyo caso, la vinculación del firmante con lo firmado, la identificación del firmante y su creación con un alto nivel de confianza, bajo su control exclusivo, deberá gestionarse con técnicas apropiadas, incluyendo las criptográficas.
  • Basada en certificados. En cuyo caso se dan dos variantes:
    • Certificados no cualificados.
    • Certificados cualificados. En cuyo caso se dan dos variantes:
      • No basadas en dispositivos cualificados de creación de firma
      • Basadas en dispositivos cualificados de creación de firma. Esta es la firma cualificada.

Muchas normas dan valor jurídico a diferentes tipos de firmas avanzadas. Por ejemplo, la Ley 18/2011 da valor de forma expresa a la firma avanzada basada en certificado cualificado, y no basadas en un dispositivo cualificado de creación de firma:

Artículo 14. Formas de identificación y autenticación.

1. La Administración de Justicia admitirá, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en (la ley 18/2011 hacer referencia a la Ley 59/2003, de 19 de diciembre, de firma electrónica, pero en la actualidad sta refeencia debe entenderse en relación con el Reglamento UE 910/2014) y resulten adecuados para garantizar la identificación de los firmantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Sin perjuicio de lo dispuesto en los artículos 4 y 6 de la presente Ley y en todo caso, con sujeción estricta a lo dispuesto por las leyes procesales, los ciudadanos y profesionales del ámbito de la Justicia podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con la Administración de Justicia:

(…)

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

No olvidemos que el Artículo 25 del Reglamento UE 910/2014 define los Efectos jurídicos de las firmas electrónicas

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Nueva taxonomía de servicios electrónicos de confianza digital tras el #eIdAS

El Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) es de aplicación completa el 1 de julio de 2016.

La información mostrada en la página web del Ministerio de Industria, Energía y Turismo (MINETUR) sobre los prestadores de servicios de certificación electrónica se ha adecuado a la nueva clasificación y categorías de servicios previstos en el citado Reglamento eIDAS.

Por ello, a partir del 1 de julio de 2016, el MINETUR publica una nueva versión de la base de datos de prestadores de servicios con la siguiente estructura:

A. Servicios electrónicos de confianza cualificados:

  • servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos cualificados de tiempo;
  • servicio cualificado de entrega electrónica certificada;
  • servicio cualificado de validación de firmas electrónicas cualificadas;
  • servicio cualificado de validación de sellos electrónicos cualificados;
  • servicio cualificado de conservación de firmas electrónicas cualificadas;
  • servicio cualificado de conservación de sellos electrónicos cualificados.

B. Servicios electrónicos de confianza no cualificados:

  • servicio de expedición de certificados electrónicos no cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos no cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos no cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos no cualificados de tiempo;
  • servicio no cualificado de entrega electrónica certificada;
  • servicio no cualificado de validación de firmas electrónicas;
  • servicio no cualificado de validación de sellos electrónicos;
  • servicio no cualificado de conservación de firmas electrónicas;
  • servicio no cualificado de conservación de sellos electrónicos.

C. Otros servicios:

Apartado en el que se publican los servicios relacionados con la firma electrónica que no tienen la condición de servicio de confianza según el Reglamento eIDAS pero que tendrían cabida en el marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, entre los que se encuentran los servicios de expedición de certificados electrónicos de persona jurídica o entidad sin personalidad jurídica, los servicios de expedición de certificados de componentes, los servicios de certificación de publicaciones o los servicios de contratación electrónica.

Adicionalmente, se proporciona la posibilidad de obtener información categorizada sobre los servicios de expedición de certificados electrónicos utilizados como sistemas de identificación y firma de las Administraciones Públicas (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público):

  • servicio de expedición de certificados electrónicos de sede electrónica de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de sello de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de empleado público.

Open banking

La apertura de las APIs de los bancos a terceros, a través de plataformas abiertas (open platform) es lo que se denomina  open banking.

Las entidades financieras que ofrecen estas APIs se convierten en plataformas de crecimiento viral  ya que en ellas se apoyan otras entidades entre las que puede estar la próxima oferta disruptiva que revolucione un determinado modo de hacer las cosas.

Al abrir los datos de los bancos a desarrolladores, startups y otros partners del mundo Fintech, no solo se potencia la entidad sino también se empodera a sus clientes.

Además, en breve plazo, la Segunda Directiva de Pagos PSD2 hará obligatoria para las entidades financieras la disponibilidad de este tipo de interfaces para ponerlos a disposición de agregadores de información  e iniciadores de pagos.

El aspecto clave de estos futuros servicios de Open banking es la gestión de identidad, por lo que, claramente, las Fintech del futuro, en buena medida, serán Prestadores de Servicios de Confianza Digital y deberán someterse a lo previsto pr el Reglamento UE 910/2014 (#eIdAS)

 

#eIdAS y los certificados electrónicos de personas jurídicas y entidades sin personalidad jurídica

El próximo 1 de julio de 2016 será aplicable en su práctica totalidad el Reglamento (UE) 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Este Reglamento no prevé la emisión de certificados de firma electrónica a favor de personas jurídicas o entidades sin personalidad jurídica. A las personas jurídicas y entidades sin personalidad jurídica reserva únicamente los sellos electrónicos, que permiten acreditar la autenticidad del origen y la integridad del documento sellado.

Al ser directamente aplicable, sin necesidad de transposición interna, el Reglamento comunitario desplazará desde el 1 de julio, los preceptos de la Ley 59/2003, de 19 de diciembre, que se opongan a su contenido, entre ellos, los relativos a los certificados electrónicos de personas jurídicas y entidades sin personalidad jurídica.

Por ello, deberán dejar de emitirse certificados de firma electrónica de personas jurídicas y entidades sin personalidad jurídica antes del 1 de julio de 2016.

En su lugar, pueden expedirse certificados de sello electrónico o certificados de firma de persona física representante de persona jurídica o entidad sin personalidad jurídica.

Los certificados de persona jurídica y de entidad sin personalidad jurídica emitidos antes del 1 de julio de 2016 podrán seguir utilizándose hasta su caducidad o revocación, pero no podrán renovarse después de esa fecha.

Los certificados emitidos como reconocidos se relacionarán en la base de datos nacional y en la lista de confianza de prestadores de servicios de certificación como certificados no reconocidos, en la forma prevista por la Decisión de ejecución (UE) 2015/1505 de la Comisión, de 8 de septiembre de 2015, por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Trust Conformity Assessment Body evaluará PSEC en el marco de #eIdAS

Conforme entra en vigor el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE se hace preciso que los Prestadores de Servicios de Electrónicos de Confianza Digital (PSEC) puedan tener identificadas las empresas evaluadoras que pueden certificar el cumplimiento por su parte de las normas técnicas de seguridad.

La compañía española Trust Conformity Assessment Body evaluará a los Prestadores que así lo deseen en el marco establecido por la supervisión de los organismos de acreditación europeos.

Trust Conformity Assessment Body  cumple con los requisitos de la norma EN 319 403 y con los requerimientos de la norma ISO/IEC 17065 por lo que podría optar a su acreditación ante un organismo supervisor. En breve estará disponible su normativa de evaluación.

Los Prestadores de Servicios de Confianza Digital (PSCD) podrán solicitar la evaluación según su actividad y las diferentes normas aplicables:

  • EN 319 401. General Policy Requirements for Trust Service Providers
  • EN 319 411-1. Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements
  • EN 319 411-2. Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Requirements for trust service providers issuing EU qualified certificates
  • EN 319 411-3. Policy and security requirements for Trust Service Providers issuing certificates; Part 3: Policy Requirements for Certification Authorities issuing public key certificates

Trust-Services-eu

Películas de ABC. Años 80. Calendario de entregas

ABC reúne en la colección “Eres más joven” una selección de películas de los 80. Se pueden conseguir los domingos desde el 13 de septiembre por 1,99 euros, cada película.

Calendario de entregas:

13 septiembre 2015 – Los Cazafantasmas
20 septiembre 2015 – Gremlins
27 septiembre 2015 – Regreso al futuro I
04 octubre 2015 – Regreso al futuro II
11 octubre 2015 – Regreso al futuro III
18 octubre 2015 – Flashdance
25 octubre 2015 – Ghost
01 noviembre 2015 – Pesadilla en Elm Street
08 noviembre 2015 – Los inmortales
15 noviembre 2015 – Jungla de cristal
22 noviembre 2015 – Acorralado (Rambo)
29 noviembre 2015 – Loca academia de policía
06 diciembre 2015 – Granujas a todo ritmo
13 diciembre 2015 – Depredador
20 diciembre 2015 – Bitelchús
27 diciembre 2015 – Big
3 enero 2016 – Karate Kid
10 enero 2016 – Terminator
17 enero 2016 – Rain Man
24 enero 2016 – Armas de mujer
31 enero 2016 – Rocky
7 febrero 2016 – Rocky 2
14 febrero 2016 – Rocky 3
21 febrero 2016 – Rocky 4
28 febrero 2016 – Mad Max
6 marzo 2016 – Mad Max 2
13 marzo 2016 – Mad Max 3
20 marzo 2016 – Amadeus
27 marzo 2016 – Batman
3 abril 2016 – El hombre de la rosa
10 abril 2016 – ¡Aterriza como puedas!
17 abril 2016 – Agárralo como puedas
24 de Abril de 2016 – Entre Pillos Anda el Juego
1 de Mayo de 2016 – El Jovencito Frankestein
8 de Mayo de 2016 – Tras el Corazón Verde
15 de Mayo de 2016 – La Joya del Nilo
22 de Mayo de 2016 – Black Rain
29 de Mayo de 2016 – La Guerra de los Rose
5 de Junio de 2016 – Blade Runner
12 de Junio de 2016 – A Propósito de Henry
19 de Junio de 2016 – Frenético
26 de Junio de 2016 – La Costa de los Mosquitos
3 de Julio de 2016 – Desafío Total
10 de Julio de 2016 – Mentiras Arriesgadas
17 de Julio de 2016 – Poli de Guardería
24 de Julio de 2016 – Commando
31 de Julio de 2016 – El Último Gran Héroe
7 de Agosto de 2016 -Los Gemelos Golpean Dos Veces
14 de Agosto de 2016 – Dr. Dolite
21 de Agosto de 2016 – El Profesor Chiflado
28 de Agosto de 2016 – El Chico de Oro
4 de Septiembre de 2016 – Arma Letal
11 de Septiembre de 2016 – Arma Letal II
18 de Septiembre de 2016 – Arma Letal III
25 de Septiembre de 2016 – Arma Letal IV
2 de Octubre de 2016 – Harry el Sucio
9 de Octubre de 2016 – Harry el Fuerte
16 de Octubre de 2016 – Harry el Ejecutor
23 de Octubre de 2016 – Impacto Súbito
30 de Octubre de 2016 – La Lista Negra
6 de Noviembre de 2016 – El Jinete Pálido
13 de Noviembre de 2016 – El Sargento de Hierro
20 de Noviembre de 2016 – Nacido el 4 de Julio

El problema de las marcas blancas

De vez en cuando, las grandes superficies incorporan a sus catálogos productos “marca banca” (marca propia de las cadenas comerciales) de propiedades notables (por sabor, efectos saludables, proporciones de componentes, o lo que sea).

El mérito del producto, claro, no es suyo. Es del productor que lo ha desarrollado.  Como mucho les cabe el acierto de seleccionarlo.

Sin embargo, nos encontramos con que, de vez en cuando, el producto que comprábamos con la cobertura de la marca blanca, cambia. Pueden ser muchas las razones por las que una entidad decida cambiar de proveedor, pero podemos imaginar que la principal es de rentabilidad.

Esto me ha pasado en el pasado con flanes de Carrefour, que empeoraron repentinamente y más recientemente con una bebida refrescante con aroma de té y de melocotón “Iced Tea” Ya he manifestado mi inclinación favorable por la fabricada por RGSEAA 29.00835/NA y recientemente he comprobado que ha cambiado el sabor. Ahora la fabrica RGSEAA 29.01574/V.

No está mal, pero prefiero el anterior. Imagino que tendré que ir probando el Té aromatizado con melocotón de todas las cadenas hasta volver a dar con el, confiando en que encaje en la marca blanca de alguna de las marcas de distribución.

Si hicieran producto con su propia marca, al menos sabría qué buscar.

 

¿Qué es la Fiscalía o Ministerio Fiscal?

El Ministerio Fiscal es un órgano de relevancia constitucional y con personalidad jurídica propia integrado con autonomía funcional en el Poder Judicial, al que el artículo 124 de la Constitución Española, se refiere en los siguientes términos:

El Ministerio Fiscal, sin perjuicio de las funciones encomendadas a otros órganos, tiene por misión promover la acción de la Justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la Ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales y procurar ante ellos la satisfacción del interés social.
El Ministerio Fiscal ejerce sus funciones por medio de órganos propios conforme a los principios de unidad de actuación y dependencia jerárquica y con sujeción, en todo caso,  a los de legalidad e imparcialidad.

La norma básica que regula el Ministerio Fiscal español es el Estatuto Orgánico del Ministerio Fiscal, aprobado por Ley 50/81 de 30 de diciembre y  modificado por la Ley  24/2007, de 9 de octubre, que refuerza su autonomía y moderniza su organización territorial.

En el Estatuto Orgánico se contiene la regulación básica de las funciones, la organización, estructura y principios, normas de actuación, formas de acceso y pérdida de la condición de Fiscal, los derechos y deberes de los Fiscales y el régimen disciplinario.

Los principios de legalidad e imparcialidad son los que rigen en todo caso la actuación del Ministerio Fiscal. Por el principio de legalidad el Ministerio Fiscal actúa con sujeción a la Constitución, a las leyes y demás normas que integran el ordenamiento jurídico. Por el principio de imparcialidad el Ministerio Fiscal actúa con plena objetividad e independencia en defensa de los intereses que le están encomendados.

El Ministerio Fiscal es un órgano  único para todo el Estado y sus miembros son autoridad a todos los efectos, actuando siempre en representación de toda la Institución.