Un dispositivo seguro de creación de firmas es un tipo específico de hardware o software de computadora que se utiliza para crear una firma electrónica . Para ser puesto en servicio como un dispositivo de creación de firma de seguridad (SSCD), el dispositivo debe cumplir con los rigurosos requisitos establecidos en el anexo II del Reglamento (UE) nº 910/2014 (eIDAS) , donde se le conoce como un cualificado (electrónica ) dispositivo de creación de firmas (QSCD). El uso de dispositivos seguros de creación de firmas ayuda a facilitar los procesos comerciales en línea que ahorran tiempo y dinero con las transacciones realizadas dentro de los sectores público y privado . [1] [2] [3]
Descripción
Los requisitos mínimos que deben cumplirse para elevar un dispositivo de creación de firma electrónica al nivel de un dispositivo seguro de creación de firma se proporcionan en el Anexo II de eIDAS. A través de los medios técnicos y de procedimiento adecuados, el dispositivo debe garantizar razonablemente la confidencialidad de los datos utilizados para crear una firma electrónica. Además, debe garantizar que los datos utilizados para crear una firma electrónica sean únicos y solo se utilicen una vez. Por último, solo permitirá que un proveedor de servicios de confianza calificado o una autoridad certificadora creen o gestionen los datos de la firma electrónica de un firmante . [2]
Para garantizar la seguridad, los datos de creación de firmas utilizados por el SSCD para crear una firma electrónica deben proporcionar una protección razonable a través de la tecnología actual para evitar la falsificación o duplicación de la firma. Los datos de creación deben permanecer bajo el control exclusivo de su signatario para evitar un uso no autorizado. El propio SSCD tiene prohibido alterar los datos que acompañan a la firma. [1]
Cuando un proveedor de servicios de confianza o una autoridad certificadora pone en servicio un SSCD, debe preparar de forma segura el dispositivo de acuerdo con el Anexo II de eIDAS en total cumplimiento de las siguientes tres condiciones: [4] [1]
- Mientras esté en uso o almacenado, el SSCD debe permanecer seguro.
- Además, debe producirse una reactivación y desactivación del SSCD en condiciones seguras.
- Todos los datos de activación del usuario, incluidos los códigos PIN, se entregarán por separado del SSCD después de ser preparados de forma segura.
Requisitos de garantía de seguridad internacional para SSCD
El dispositivo de creación de firma segura también debe cumplir con el estándar internacional para la certificación de seguridad informática, denominado Criterios comunes para la evaluación de la seguridad de la tecnología de la información (ISO / IEC 15408). [5] Esta norma brinda a los usuarios de sistemas informáticos la capacidad de especificar requisitos de seguridad a través de perfiles de protección (PP) para requisitos funcionales de seguridad (SFR) y requisitos de garantía de seguridad (SAR). [1] [3] El proveedor de servicios de confianza o la autoridad certificadora son los que deben implementar los requisitos especificados y dar fe de los atributos de seguridad de sus productos. Luego, un laboratorio de pruebas de terceros evalúa el dispositivo para garantizar que el nivel de seguridad sea el indicado por el proveedor. [6]
Servicio de autenticación central
Cuando se utiliza un dispositivo de creación de firma segura como parte de un servicio de autenticación central (CAS), puede actuar como un servidor CAS en escenarios de autenticación de varios niveles. El protocolo de software CAS permite que los usuarios se autentiquen cuando inician sesión en una aplicación web.
El esquema común para un protocolo CAS incluye el navegador web del cliente, una aplicación que solicita autenticación y el servidor CAS. Cuando se necesita autenticación, la aplicación enviará una solicitud al servidor CAS. A continuación, el servidor comparará las credenciales del usuario con su base de datos. Si la información coincide, el CAS responderá que el usuario ha sido autenticado. [1] [3]
Implicaciones legales con respecto a los dispositivos seguros de creación de firmas
eIDAS ha proporcionado un enfoque escalonado para determinar las implicaciones legales de las firmas electrónicas. Se considera que una firma que ha sido creada con un dispositivo seguro de creación de firmas tiene el valor probatorio más fuerte . Un documento o mensaje que ha sido firmado con dicho dispositivo no es confiable , lo que significa que el firmante no puede negar que es responsable de la creación de la firma. [2]
El Reglamento (UE) n. ° 910/2014 (eIDAS) es una evolución de la Directiva 1999/93 / CE, la Directiva de firmas electrónicas . La intención de la directiva era responsabilizar a los Estados miembros de la UE de crear una legislación que permitiera la creación del sistema de firma electrónica de la Unión Europea. El Reglamento eIDAS exigía que todos los Estados miembros siguieran sus especificaciones para las firmas electrónicas antes de su fecha de entrada en vigor del 1 de julio de 2016. [7] [8]
Referencias
- ^ a b c d e Turner, Dawn M. "¿Qué es un dispositivo seguro de creación de firmas?" . Criptomático . Consultado el 18 de noviembre de 2016 .
- ^ a b c Turner, Dawn. "Entendiendo eIDAS" . Criptomático . Consultado el 12 de abril de 2016 .
- ^ a b c "Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93 / CE" . EUR-Lex . El Parlamento Europeo y el Consejo de la Unión Europea . Consultado el 18 de marzo de 2016 .
- ^ "Firmas e Infraestructuras Electrónicas: Requisitos de la política para las autoridades de certificación que emiten certificados calificados" (PDF) . Instituto Europeo de Normas de Telecomunicaciones . Consultado el 18 de noviembre de 2016 .
- ^ "ISO / IEC 15408-1: 2009 Tecnología de la información - Técnicas de seguridad - Criterios de evaluación para la seguridad informática - Parte 1: Introducción y modelo general" . Organización Internacional de Normalización (ISO) . Consultado el 18 de noviembre de 2016 .
- ^ Turner, Dawn M. "Proveedores de servicios de confianza según eIDAS" . Criptomático . Consultado el 18 de noviembre de 2016 .
- ^ Turner, Dawn M. "eIDAS de directiva a regulación - Aspectos legales" . Criptomático . Consultado el 18 de marzo de 2016 .
- ^ "Reglamentos, Directivas y otros actos" . Europa.eu . La Unión Europea. Archivado desde el original el 12 de diciembre de 2013 . Consultado el 18 de marzo de 2016 .
enlaces externos
- www.iso.org/iso 22715: 2006
- www.eur-lex.europe.eu/eIDAS