eIDAS ( e lectronic ID entification, A utentication and trust S ervices) es un reglamento de la UE sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado único europeo . Fue establecido en el Reglamento de la UE 910/2014 de 23 de julio de 2014 sobre identificación electrónica y deroga 1999/93 / EC de 13 de diciembre de 1999. [1] [2]
Entró en vigor el 17 de septiembre de 2014 y se aplica a partir del 1 de julio de 2016, excepto para determinados artículos, que se enumeran en su artículo 52. [3] Todas las organizaciones que prestan servicios digitales públicos en un estado miembro de la UE deben reconocer la identificación electrónica de todos los estados miembros de la UE. desde el 29 de septiembre de 2018. [4] [5]
Descripción
eIDAS supervisa los servicios de identificación electrónica y de confianza para las transacciones electrónicas en el mercado interno de la Unión Europea . Regula las firmas electrónicas , las transacciones electrónicas, los organismos involucrados y sus procesos de incorporación para proporcionar una forma segura para que los usuarios realicen negocios en línea, como transferencias electrónicas de fondos o transacciones con servicios públicos . Tanto el firmante como el destinatario pueden tener más comodidad y seguridad . En lugar de depender de métodos tradicionales, como el correo o el fax , o presentarse en persona para enviar documentos en papel, ahora pueden realizar transacciones transfronterizas, como la tecnología " 1-Click ". [2] [6]
eIDAS ha creado normas para las cuales las firmas electrónicas, certificados digitales cualificados , sellos electrónicos , marcas de tiempo , y otra prueba para la autenticación mecanismos permiten a las transacciones electrónicas, con la misma validez legal que las transacciones que se realizan en el papel. [7]
La regulación entró en vigor en julio de 2015, como un medio para facilitar transacciones electrónicas seguras y sin problemas dentro de la Unión Europea. Los estados miembros deben reconocer las firmas electrónicas que cumplen con los estándares de eIDAS. [2] [8]
Visión
eIDAS es el resultado del enfoque de la Comisión Europea en la Agenda Digital de Europa. Con la supervisión de la Comisión, se implementó eIDAS para estimular el crecimiento digital dentro de la UE. [9]
La intención de eIDAS es impulsar la innovación. Al adherirse a las pautas establecidas para la tecnología bajo eIDAS, las organizaciones se ven impulsadas a utilizar niveles más altos de seguridad e innovación de la información . Además, eIDAS se centra en lo siguiente: [8] [10]
- Interoperabilidad : los estados miembros deben crear un marco común que reconozca los eID de otros estados miembros y garantice su autenticidad y seguridad. Eso facilita a los usuarios realizar negocios a través de las fronteras.
- Transparencia : eIDAS proporciona una lista clara y accesible de servicios confiables que pueden usarse dentro del marco de firma centralizado. Eso permite a los interesados en la seguridad la capacidad de entablar un diálogo sobre las mejores tecnologías y herramientas para proteger las firmas digitales.
Aspectos regulados en transacciones electrónicas
El Reglamento proporciona el marco regulador para los siguientes aspectos importantes relacionados con las transacciones electrónicas: [2]
- Firma electrónica avanzada : una firma electrónica se considera avanzada si cumple con ciertos requisitos:
- Proporciona información de identificación única que lo vincula con su signatario.
- El firmante tiene el control exclusivo de los datos utilizados para crear la firma electrónica.
- Debe ser capaz de identificar si los datos que acompañan al mensaje han sido manipulados después de ser firmado. Si los datos firmados han cambiado, la firma se marca como inválida.
- Existe un certificado de firma electrónica, prueba electrónica que confirma la identidad del firmante y vincula los datos de validación de la firma electrónica a esa persona.
- Las firmas electrónicas avanzadas se pueden implementar técnicamente, siguiendo el estándar XAdES , PAdES , CAdES o ASiC Baseline Profile ( Associated Signature Containers ) para firmas digitales, especificado por el ETSI . [11]
- Firma electrónica calificada , una firma electrónica avanzada que se crea mediante un dispositivo de creación de firma electrónica calificado basado en un certificado calificado para firmas electrónicas.
- Certificado digital calificado para firma electrónica , un certificado que da fe de la autenticidad de una firma electrónica calificada que ha sido emitida por un proveedor de servicios de confianza calificado.
- Certificado de autenticación de sitio web calificado , un certificado digital calificado bajo los servicios de confianza definidos en el Reglamento eIDAS.
- Trust service , un servicio electrónico que crea, valida y verifica firmas electrónicas , sellos de tiempo , sellos y certificados . Además, un servicio de confianza puede proporcionar autenticación de sitios web y preservación de firmas, certificados y sellos electrónicos creados. Lo gestiona un proveedor de servicios de confianza .
Evolución e implicaciones legales
El Reglamento eIDAS evolucionó a partir de la Directiva 1999/93 / EC, que estableció un objetivo que se esperaba que los estados miembros de la UE lograran en lo que respecta a la firma electrónica. Los países europeos más pequeños fueron uno de los primeros en comenzar a adoptar firmas e identificación digitales, por ejemplo, la primera firma digital de Estonia se otorgó en 2002 y la primera firma digital de Letonia se otorgó en 2006. Su experiencia se ha utilizado para desarrollar una ahora en toda la UE regulación , que pasó a ser vinculante como ley en toda la UE desde el primero de julio de 2016. [12] La directiva responsabilizó a los estados miembros de la UE de crear leyes que les permitieran cumplir el objetivo de crear un sistema de firma electrónica dentro de la UE. La directiva también permitió a cada estado miembro interpretar la ley e imponer restricciones, impidiendo así la interoperabilidad real y conduciendo a un escenario fragmentado. [13] A diferencia de esta directiva, eIDAS garantiza el reconocimiento mutuo de la identificación electrónica para la autenticación entre los Estados miembros, [14] logrando así el objetivo del mercado único digital .
eIDAS proporciona un enfoque escalonado de valor legal. Requiere que a ninguna firma electrónica se le niegue el efecto legal o la admisibilidad en los tribunales únicamente porque no es una firma electrónica avanzada o calificada. [15] Las firmas electrónicas calificadas deben tener el mismo efecto legal que las firmas manuscritas. [dieciséis]
Para los sellos electrónicos (versión de las firmas de las personas jurídicas), el valor probatorio se aborda explícitamente, ya que los sellos deben gozar de la presunción de integridad y la exactitud del origen de los datos adjuntos. [17]
Numero de identidad
La información de la base de datos debe estar vinculada a algún tipo de número de identidad. Certificar que una persona tiene derecho a acceder a cierta información personal implica varios pasos.
- Conectar a una persona con un número, lo que se puede hacer a través de métodos desarrollados en un país, como certificados digitales.
- Conectando un número a información específica, hecho en bases de datos.
- Para eIDAS es necesario conectar el número utilizado por un país que tiene información con el número utilizado por el país que emite los certificados digitales.
eIDAS tiene como concepto mínimo de identidad, el nombre y la fecha de nacimiento. Pero para acceder a información más sensible, se necesita algún tipo de certificación de que los números de identidad emitidos por dos países se refieren a la misma persona. [18]
Vulnerabilidades
En octubre de 2019, los investigadores de seguridad descubrieron dos fallas de seguridad en eIDAS-Node (una implementación de muestra del perfil de eID eIDAS proporcionada por la Comisión Europea [19] ); Ambas vulnerabilidades fueron parcheadas para la versión 2.3.1 de eIDAS-Node. [20]
Marco europeo de identidad autónoma
La Unión Europea está creando un marco europeo de identidad autónoma (ESSIF) compatible con eIDAS.
Ver también
- PAdES
Referencias
- ^ Turner, amanecer. "Entendiendo eIDAS" . Criptomático . Consultado el 12 de abril de 2016 .
- ^ a b c d "Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93 / CE" . EUR-Lex . El Parlamento Europeo y el Consejo de la Unión Europea . Consultado el 18 de marzo de 2016 .
- ^ eIDAS en vigor, aplica y excepciones en Europa.eu
- ^ Información sobre eIDAS , Connectis.
- ^ Reglamento (UE) n. ° 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014
- ^ van Zijp, Jacques. "¿Está la UE preparada para eIDAS?" . Alianza de identidad segura. Archivado desde el original el 22 de noviembre de 2016 . Consultado el 18 de marzo de 2016 .
- ^ Turner, Dawn M. "eIDAS de directiva a regulación - Aspectos legales" . Criptomático . Consultado el 18 de marzo de 2016 .
- ^ a b Bender, Jens. "Regulación eIDAS: EID - Oportunidades y riesgos" (PDF) . Bunde.de . Fraunhofer-Gesellschaft . Consultado el 18 de marzo de 2016 .
- ^ "Una agenda digital para Europa" . EUR-Lex . La Comisión Europea . Consultado el 18 de marzo de 2016 .
- ^ JA, Ashiq. "La Agenda eIDAS: Innovación, Interoperabilidad y Transparencia" . Criptomático . Consultado el 18 de marzo de 2016 .
- ^ Turner, Dawn M. "La diferencia entre una firma electrónica y una firma digital" . Criptomático . Consultado el 21 de abril de 2016 .
- ^ "Reglamentos, Directivas y otros actos" . Europa.eu . La Unión Europea. Archivado desde el original el 12 de diciembre de 2013 . Consultado el 18 de marzo de 2016 .
- ^ "Comprender eIDAS: todo lo que siempre quiso saber sobre el nuevo Reglamento de firma electrónica de la UE" . Tecnología legal . Consultado el 1 de marzo de 2016 .
- ^ "Un gran paso hacia el mercado único digital europeo" (PDF) . Revista Inside . Consultado el 27 de marzo de 2019 .
- ^ Artículos 25 (1) y definiciones en el artículo 3 (10) a 3 (12)
- ^ Artículo 25 (2)
- ^ Artículo 35 (2)
- ^ Hur skapar du en koppling mellan svenska och utländska eID: n? (en sueco. Traducción del título: ¿Cómo conectar el eID sueco y extranjero?)
- ^ "Paquete de integración eIDAS-Node" . Comisión Europea . Archivado desde el original (html) el 10 de junio de 2019 . Consultado el 29 de octubre de 2019 .
El software eIDAS-Node contiene los módulos necesarios para ayudar a los Estados miembros a comunicarse con otras contrapartes que cumplen con eIDAS de forma centralizada o distribuida.
- ^ Cimpanu, Catalin (29 de octubre de 2019). "Gran vulnerabilidad parcheada en el sistema de autenticación eIDAS de la UE" . ZDNet . Archivado desde el original (html) el 29 de octubre de 2019 . Consultado el 29 de octubre de 2019 .
La vulnerabilidad habría permitido a los atacantes hacerse pasar por ciudadanos o empresas de la UE.
enlaces externos
- “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93 / CE” . - El texto del reglamento eIDAS UE.