Lista de organismos de evaluación de la conformidad acreditados con arreglo a los requisitos del Reglamento eIDAS

Se ha recopilado una lista de organismos de evaluación de conformidad definidos en el punto 18 del artículo 3 del Reglamento eIDAS (UE) 910/2014.

La lista es una herramienta informativa que no tiene en cuenta los evaluadores en proceso de acreditación.

Esta lista se actualizará según esté disponible la información proporcionada por los Organismos Nacionales de Acreditación de los Estados Miembros.

Si detecta un error, indíquelo por favor, al objeto de proceder a su subsanación.

Lista de organismos de evaluación de la conformidad definidos en el punto 13 del artículo 2 del Reglamento (CE) nº 765/2008 y acreditados como competentes para llevar a cabo las evaluaciones de conformidad de prestadores de servicios electrónicos de confianza cualificados y de los servicios de confianza que prestan, según lo dispuesto en el Reglamento eIDAS (UE) 910/2014

AUSTRIA (AT)

  • Name: AA (Akkreditierung Austria)
  • URL to body: www.bmwfw.gv.at/akkreditierung
  • Contact email: akkreditierung@bmwfw.gv.at
  • URL to eIDAS accreditation scheme:

Conformity Assessment Body

  • Name: Zentrum für sichere Informationstechnologie – Austria (A-SIT)
  • URL to body: www.a-sit.at
  • Date of accreditation: 21.12.2016
  • URL to accreditation certificate: https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/product%20certification%20bodies.pdf
  • ‘de’ BMWFW-92.321/0180-I/12/2016 A-SIT_17065 (listed as Nr 23) ‘de’
  • Scope of accreditation:  https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/AA_0929_17065_A-SIT.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS:

CZECH REPUBLIC (CZ)

  • Name: CAI (Czech Accreditation Institute)
  • URL to body: www.cai.cz
  • Contact email: mail@cai.cz
  • URL to eIDAS accreditation scheme:

Conformity Assessment Bodies

  • Name: Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • URL to body: www.ezu.cz
  • Date of accreditation: 20.01.2017 (until 08.11.2018)
  • URL to accreditation certificate: ‘cz’ Certificate No .: 42/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
    • Qualified preservation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: http://ezu.cz/en/about-us/valid-certificates/

 

  • Name: Tayllor & Cox s.r.o.
  • Registration number: –
  • URL to body: https://www.tayllorcox.com
  • Date of accreditation: 06.02.2017 (until 06.02.2020)
  • URL to accreditation certificate: ‘cz’ Certificate No.: 67/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.tayllorcox.com/en/certification

GERMANY (DE)

  • Name: DAkkS (Deutsche Akkreditierungsstelle GmbH)
  • URL to body: www.dakks.de
  • Contact email: contact@dakks.de
  • URL to eIDAS accreditation scheme: –

Conformity Assessment Bodies

  • Name: datenschutz cert GmbH
  • URL to body: https://www.datenschutz-cert.de/
  • Date of accreditation: 28.07.2016 (until 27.07.2021)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-16077-01-00.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.datenschutz-cert.de/zertifikatsliste/zertifikate/produkt-bestaetigung-sigg.html

 

  • Name: T-Systems International GmbH
  • URL to body: http://www.t-systems-zert.com/service/ser_impressum_e.html
  • Date of accreditation: 29.06.2016 (until 28.06.2021)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-12025-01-00.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: http://www.t-systems-zert.com/service/ser_service_e.html#cps
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.t-systems-zert.com/einzelne/ein_05_zer_gesch_e.html

 

  • Name: TÜV Informationstechnik GmbH
  • URL to body: https://www.tuvit.de/en/index.htm
  • Date of accreditation: 24.06.2016 (until 17.07.2018)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-12022-01-01.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.tuvit.de/en/certification-overview-1265-4512.htm

ITALY (IT)

  • Name: ACCREDIA (Ente Italiano di Accreditamento)
  • URL to body: www.accredia.it
  • Contact email: trifil@accredia.it
  • URL to eIDAS accreditation scheme: Circolare DC N° 17/2016 (PRD) http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=87&IDCTX=5149&id_context=5149

 

Conformity Assessment Bodies

  • Name: BUREAU VERITAS Italia S.p.A.
  • URL to body: http://www.bureauveritas.it
  • Date of accreditation: 21.07.2016 (until 24.05.2019)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.009B
  • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
    • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.bureauveritas.it/home/clients/registro+aziende+certificate

 

  • Name: CSQA Certificazioni srl
  • URL to body: http://www.csqa.it/
  • Date of accreditation: 28.06.2016 (until 30.03.2018)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.014B
  • QTSP/QTS type(s) for which accreditation is granted:
  • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.csqa.it/Services/aziende-certificate

 

  • Name: IMQ S.p.A.
  • URL to body: http://www.imq.it/
  • Date of accreditation: 20.12.2016 (until 09.03.2021)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.005B
    • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.imq.it/opencmsIMQ/opencms/it/banca_dati/aziende.html

Fuente: EIDAS Conformity Assessment Bodies

Contacto para consultas +34 902 365 612

Incidentes de seguridad en entornos de firma electrónica tras el #eIDAS

El Reglamento (UE) Nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS) prevé la notificación de Incidentes de seguridad, según se recoge en el artículo 19.2 .

Los prestadores de servicios  electrónicos de confianza, cualificados y no cualificados, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión (en España, el Ministerio de Energía, Turismo y Agenda Digital) y, en caso pertinente, a otros organismos relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos (en España, la Agencia de Protección de Datos), cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

Asimismo, cuando la violación de seguridad o la pérdida de integridad puedan afectar a una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza debe notificar el incidente a la persona física o jurídica afectada.

Acceso al procedimiento de notificación.

Notificaciones que deben remitir a la SESIAD los prestadores de servicios electrónicos de confianza que inicien o presten servicios de confianza cualificados y no cualificados.

Supervisión contemplada en el Reglamento (UE) Nº 910/2014, en la Ley 59/2003 de Firma Electrónica.

Las normas de firma electrónica y el Reglamento #EIDAS

Las primeras regulaciones de la firma electrónica tienen su origen en Estados Unidos, y en los trabajos de organismos internacionales como la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI).

De las Naciones Unidas son la Ley Modelo sobre Comercio Electrónico (1996) y la Ley Modelo para las Firmas Eléctrónicas (2001).

En el ámbito europeo, la regulación común se ha basado hasta el año 2016 en la Directiva 1999/93/ CE, por la que se establece un marco comunitario para la firma electrónica, y en la Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la Sociedad de la Información, en particular el comercio electrónico.

Con fecha 23 de Julio de 2014 y publicación en el Diario Oficial de la Unión Europea (DOUE) el 28 de agosto de 2014, el Parlamento Europeo y el Consejo de la Unión Europea han adoptado el Reglamento 910/2014 (identificado con la etiqueta #eIdAS), relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

La derogación de la Directiva conllevaría la derogación de las Leyes nacionales desarrolladas por mandato de la citada Directiva, pero en la práctica, esta derogación no es expresa y plantea problemas de interpretación cuando un artículo de la Ley (en España la Ley 59/2003) entra en conflicto con el Reglamento, que es de directa aplicación.

A partir del 1 de Julio de 2016 (art. 50),  se establece un régimen transitorio hasta el 1 de julio de 2017, en el que los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo a la nueva normativa.

En este período, los certificados reconocidos de persona física expedidos con anterioridad se considerarán certificados cualificados de persona física conforme al nuevo reglamento hasta que caduquen. Sin embargo, los certificados reconocidos de persona jurídica expedidos con anterioridad NO se considerarán certificados cualificados conforme al nuevo reglamento.

En el mismo sentido, desde el 1 de julio de 2016 hasta el 1 de julio de 2017,  los Prestadores de Servicios de Certificación que emiten certificados reconocidos de persona física pueden seguir prestando el servicio y manteniendo la consideración de Prestadores de Servicios Electrónicos de Confianza cualificados,  si bien para mantener esa consideración a partir del 1 de julio de 2017 deben presentar al organismo supervisor (el MINETAD) un informe de evaluación (Conformity Assessment Report) realizado por una entidad de evaluación de conformidad acreditada ante el organismo de acreditación de cada país (en España, ENAC).

La nueva normativa amplía el marco regulatorio de la Directiva 1999/93/CE, con interacciones con la normativa en materia de protección de datos, con la de sanidad electrónica intercomunitaria, con la de Ciberseguridad, con la de prevención del blanqueo de capitales y con la Segunda Directiva de Pagos.

El Reglamento #eIdAS obliga a las Administraciones Públicas en todo el ámbito de la Unión Europa, a aceptar los servicios electrónicos de confianza cualificados prestados por Proveedores de otros estados miembros, y, especialmente a aceptar los sistemas de identificación y autenticación notificados.

De esta forma pretende las barreras existentes para el uso transfronterizo de los medios de identificación electrónica utilizados en los Estados miembros para autenticar al menos en los servicios públicos, y obligando a que los sistemas nacionales de identificación electrónica notificados (insistimos, notificados) sean admitidos en todos los Estados miembros.

A la difuminación de barreras transfronterizas contribuirá la creación de una marca común de confianza que pueden ostentar los Prestadores de Servicios Electrónicos de Confianza cualificados. La marca de confianza se ha creado mediante el Reglamento de Ejecución (UE) 2015/806 de la Comisión de 22 de mayo de 2015 por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados.

También contribuye al acceso transfronterizo la creación de un sistema técnico de referencia que señala todos los prestadores cualificados de la unión europea de forma que puede automatizarse la obtención del censo de prestadores de servicios electrónicos de confianza cualificados en virtud de las listas Trusted Services List – TSL. Estas TSL, en su versión más actualizada (puesto que hubo otra versión desarrollada al amparo de la Directiva 1999/93CE) se imponen por Decisión de Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

 

 

Nueva taxonomía de servicios electrónicos de confianza digital tras el #eIdAS

El Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) es de aplicación completa el 1 de julio de 2016.

La información mostrada en la página web del Ministerio de Industria, Energía y Turismo (MINETUR) sobre los prestadores de servicios de certificación electrónica se ha adecuado a la nueva clasificación y categorías de servicios previstos en el citado Reglamento eIDAS.

Por ello, a partir del 1 de julio de 2016, el MINETUR publica una nueva versión de la base de datos de prestadores de servicios con la siguiente estructura:

A. Servicios electrónicos de confianza cualificados:

  • servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos cualificados de tiempo;
  • servicio cualificado de entrega electrónica certificada;
  • servicio cualificado de validación de firmas electrónicas cualificadas;
  • servicio cualificado de validación de sellos electrónicos cualificados;
  • servicio cualificado de conservación de firmas electrónicas cualificadas;
  • servicio cualificado de conservación de sellos electrónicos cualificados.

B. Servicios electrónicos de confianza no cualificados:

  • servicio de expedición de certificados electrónicos no cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos no cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos no cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos no cualificados de tiempo;
  • servicio no cualificado de entrega electrónica certificada;
  • servicio no cualificado de validación de firmas electrónicas;
  • servicio no cualificado de validación de sellos electrónicos;
  • servicio no cualificado de conservación de firmas electrónicas;
  • servicio no cualificado de conservación de sellos electrónicos.

C. Otros servicios:

Apartado en el que se publican los servicios relacionados con la firma electrónica que no tienen la condición de servicio de confianza según el Reglamento eIDAS pero que tendrían cabida en el marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, entre los que se encuentran los servicios de expedición de certificados electrónicos de persona jurídica o entidad sin personalidad jurídica, los servicios de expedición de certificados de componentes, los servicios de certificación de publicaciones o los servicios de contratación electrónica.

Adicionalmente, se proporciona la posibilidad de obtener información categorizada sobre los servicios de expedición de certificados electrónicos utilizados como sistemas de identificación y firma de las Administraciones Públicas (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público):

  • servicio de expedición de certificados electrónicos de sede electrónica de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de sello de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de empleado público.

Open banking

La apertura de las APIs de los bancos a terceros, a través de plataformas abiertas (open platform) es lo que se denomina  open banking.

Las entidades financieras que ofrecen estas APIs se convierten en plataformas de crecimiento viral  ya que en ellas se apoyan otras entidades entre las que puede estar la próxima oferta disruptiva que revolucione un determinado modo de hacer las cosas.

Al abrir los datos de los bancos a desarrolladores, startups y otros partners del mundo Fintech, no solo se potencia la entidad sino también se empodera a sus clientes.

Además, en breve plazo, la Segunda Directiva de Pagos PSD2 hará obligatoria para las entidades financieras la disponibilidad de este tipo de interfaces para ponerlos a disposición de agregadores de información  e iniciadores de pagos.

El aspecto clave de estos futuros servicios de Open banking es la gestión de identidad, por lo que, claramente, las Fintech del futuro, en buena medida, serán Prestadores de Servicios de Confianza Digital y deberán someterse a lo previsto pr el Reglamento UE 910/2014 (#eIdAS)

 

Trusted Service Status List y Tablón Edictal Único en la administración electrónica

La Ley 15/2014, de 16 de septiembre, de racionalización del Sector Público y otras medidas de reforma administrativa. modifica la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, para asegurar el uso de una única relación de certificados electrónicos reconocidos en todas las Administraciones Públicas, de manera que se liberen recursos administrativos para otros fines más productivos y se eliminen los costes y cargas que su aceptación en cada Administración Pública supone para los prestadores de servicios.

Esta es una medida que no debiera ser necesaria puesto que se deduce de la Directiva 1999/93CE,  pero en la práctica muchas administraciones hacían caso omiso de las TSL (Trusted Service Status List) ya existentes.

La lista TSL que la Ley 15/2014, de 16 de septiembre, hace de uso obligatorio es la lista de confianza de prestadores de servicios de certificación establecidos en España que mantiene el Ministerio de Industria, Energía y Turismo, que contiene, de manera diferenciada, los certificados electrónicos reconocidos correspondientes a los sistemas de firma electrónica avanzada admitidos por las Administraciones Públicas.

Dicha lista, desde la publicación de la Ley sustituye a las relaciones de prestadores de servicios de certificación que solían mantener muchas Administraciones (en aplicación del artículo 15.2 de la Ley 11/2007, de 22 de junio), que desde entonces han pasado a ser ilegales.

Debe tenerse en cuenta que en la fecha de publicación de la Ley ya se había publicado el Reglamento europeo UE 910/2014 (EIDAS) sobre identificación electrónica y servicios de confianza para las transacciones en el mercado interior, que obliga a las Administraciones Públicas a admitir también los certificados electrónicos reconocidos emitidos por prestadores de servicios que figuren en las listas de confianza de todos los demás Estados miembros de la Unión Europea, para lo que se publica la TSL raiz, lista de listas, que permite acceder a las listas TSL nacionales.

En la Ley indicada se instauró el Tablón Edictal Único a través del «Boletín Oficial del Estado», como diario oficial de la entera organización estatal, no solamente de la Administración General del Estado. A través del TEU las Administraciones autonómicas y locales también pueden insertar sus anuncios, ya que la estructura interna del BOE se rige por criterios subjetivos, distinguiendo los actos a publicar en razón de la Administración de la que procedan.

Todas estas publicaciones tienen carácter gratuito, conforme establece la normativa reguladora del diario oficial, por tratarse de inserciones obligatorias según norma con rango de ley.

De esta manera, el ciudadano sabrá que, mediante el acceso on-line a un único servidor web y con la garantía y seguridad jurídica que supone el «Boletín Oficial del Estado», puede tener conocimiento de todos los anuncios para ser notificado que le puedan afectar, independientemente de cuál sea el órgano que los realiza o la materia sobre la que versan.

Un aspecto llamativo de la Ley es que establece el instrumento jurídico de la encomienda general para integrar las diferentes encomiendas de gestión que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda viene cumpliendo en el ámbito de los servicios de administración electrónica.