Un proveedor de servicios de confianza ( TSP ) es una persona o entidad jurídica que proporciona y conserva certificados digitales para crear y validar firmas electrónicas y autenticar a sus firmantes, así como a los sitios web en general. [1] [2] Los proveedores de servicios de confianza son autoridades de certificación calificadas requeridas en la Unión Europea y en Suiza en el contexto de los procedimientos regulados de firma electrónica . [3]
Historia
El término proveedor de servicios de confianza fue acuñado por el Parlamento Europeo y el Consejo Europeo como una autoridad importante y relevante que proporciona el no repudio a un procedimiento de firma electrónica regulado . Se planteó por primera vez en la Directiva de firmas electrónicas 1999/93 / CE y se denominó inicialmente proveedor de servicios de certificación. La directiva fue derogada por el Reglamento eIDAS que se hizo oficial el 1 de julio de 2016. [2] [4] Un reglamento es un acto legislativo vinculante que requiere que todos los estados miembros de la UE lo sigan. [5]
Descripción
El proveedor de servicios de confianza tiene la responsabilidad de asegurar la integridad de la identificación electrónica para los signatarios y los servicios a través de sólidos mecanismos de autenticación , firmas electrónicas y certificados digitales . eIDAS define los estándares sobre cómo los proveedores de servicios de confianza deben realizar sus servicios de autenticación y no repudio . El reglamento proporciona orientación a los estados miembros de la UE sobre cómo se regularán y reconocerán los proveedores de servicios de confianza.
Un servicio de confianza se define como un servicio electrónico que implica una de tres acciones posibles. En primer lugar, puede referirse a la creación, verificación o validación de firmas electrónicas, así como sellos o sellos de tiempo , servicios de entrega registrados electrónicamente y certificaciones que se requieren con estos servicios. La segunda acción implica la creación, verificación y validación de certificados que se utilizan para autenticar sitios web. La tercera acción es la conservación de estas firmas electrónicas, los sellos o los certificados relacionados.
Para ser elevado al nivel de un servicio de confianza calificado, el servicio debe cumplir con los requisitos establecidos en el Reglamento eIDAS. Los servicios de confianza proporcionan un marco de confianza que facilita las relaciones continuas para las transacciones electrónicas que se llevan a cabo entre los Estados miembros y las organizaciones participantes de la UE. [1] [6]
Papel de un proveedor de servicios de confianza calificado
El proveedor de servicios de confianza calificado juega un papel importante en el proceso de firma electrónica calificada. Los proveedores de servicios de confianza deben recibir un estado calificado y permiso para que un organismo gubernamental de supervisión proporcione certificados digitales calificados que se pueden utilizar para crear firmas electrónicas calificadas. eIDAS requiere que la UE mantenga una Lista de confianza de la UE que enumere los proveedores y servicios que han recibido el estado calificado. Un proveedor de servicios de confianza no tiene derecho a proporcionar servicios de confianza calificados si no está en la Lista de confianza de la UE. [1] [7]
Los proveedores de servicios de confianza que figuran en la Lista de confianza de la UE deben seguir las estrictas directrices establecidas en eIDAS. Deben proporcionar sellos válidos en fecha y hora al crear certificados. Las firmas que tienen certificados vencidos deben revocarse de inmediato. La UE obliga a los proveedores de servicios de confianza a impartir la formación adecuada a todo el personal empleado por el proveedor de servicios de confianza. Además, proporcionarán herramientas como software y hardware que sean confiables y capaces de evitar falsificaciones de los certificados que se produzcan. [1] [2]
Visión
Uno de los principales objetivos de eIDAS fue facilitar los servicios públicos y empresariales, especialmente los que se llevan a cabo entre partes a través de las fronteras de los Estados miembros de la UE. Estas transacciones ahora pueden acelerarse de manera segura a través de los medios de firma electrónica y los servicios que brindan los proveedores de servicios de confianza para garantizar la integridad de esas firmas.
Los estados miembros de la UE están obligados a través de eIDAS a establecer "puntos de contacto único" (PSC) para los servicios de confianza que garanticen que los esquemas de identificación electrónica se puedan utilizar para transacciones transversales del sector público, incluido el intercambio y acceso de información sanitaria a través de fronteras. [2] [8] [9]
Perspectiva legal de las firmas electrónicas creadas por proveedores de servicios de confianza
Si bien una firma electrónica avanzada es legalmente vinculante según eIDAS, una firma electrónica calificada que ha sido creada por un proveedor de servicios de confianza calificado tiene un valor probatorio más alto cuando se usa como prueba en un tribunal. Debido a que la autoría de la firma se considera no repudiable , la autenticidad de la firma no puede cuestionarse fácilmente. Los estados miembros de la UE están obligados a aceptar firmas electrónicas cualificadas que hayan sido creadas con certificado cualificado de otros estados miembros como válidas. De acuerdo con el Reglamento eIDAS, es decir, el artículo 24, apartado 2, una firma creada con un certificado cualificado tiene el mismo valor legal que una firma manuscrita en los tribunales. [2] [3] [10]
Los estándares están evolucionando. El Instituto Europeo de Normas de Telecomunicaciones ETSI está desarrollando normas adicionales, incluidas definiciones de políticas para proveedores de servicios de confianza . [11]
Perspectiva global
El estándar suizo de firma digital ZertES ha definido un concepto comparable de proveedores de servicios de certificados. Los proveedores de servicios de certificados deben ser auditados por organismos de evaluación de la conformidad designados por la Schweizerische Akkreditierungsstelle . [12] En los Estados Unidos, el NIST Digital Signature Standard (DSS) en su versión actual no conoce nada comparable a un proveedor de servicios de confianza calificado que permita mejorar el no repudio a través del certificado calificado del firmante. Sin embargo, los autores de la próxima revisión y los comentaristas están discutiendo públicamente una enmienda similar al enfoque de eIDAS y ZertES de prestación de servicios confiables. [13] [14] Para permitir transacciones globales estrictas y no repudiables y relevancia jurídica , se necesitaría una armonización internacional.
Controversia
Varios institutos de investigación y asociaciones expresaron su preocupación con respecto al establecimiento de un pequeño grupo de proveedores de servicios de confianza centralizados por país que autentiquen las transacciones digitales. Afirman que esta construcción puede tener un impacto negativo en la privacidad. Dado el papel central de los proveedores de servicios de confianza en muchas transacciones, el Consejo de Sociedades Europeas de Informática Profesional (CEPIS) teme que los proveedores de servicios de confianza obtengan y recopilen información sobre los atributos distintivos de los ciudadanos, que están sujetos a autenticación. Con respecto a su requisito de preservar los datos y los esfuerzos esperados resultantes para mantener evidencia de posibles solicitudes de responsabilidad sobre una identificación inexacta, CEPIS ve el riesgo de que los proveedores de servicios de confianza puedan crear y almacenar entradas de registro de todos los procesos de autenticación. La información obtenida permite el seguimiento y la elaboración de perfiles de los ciudadanos implicados. Si la contraparte de la transacción también se identifica, los intereses del usuario y su comportamiento de comunicación agudizarán adicionalmente los perfiles obtenidos. El análisis de macrodatos permitiría obtener información de gran alcance sobre la privacidad y las relaciones de los ciudadanos. La conexión directa con los organismos gubernamentales calificados podría permitirles acceder a los datos y perfiles obtenidos. [15]
Otra publicación afirma que para aprovechar realmente las transacciones electrónicas transfronterizas seguras y sin problemas, los niveles de garantía, las definiciones y el despliegue técnico deben especificarse con mayor precisión. [dieciséis]
Referencias
- ^ a b c d Turner, Dawn M. "Proveedores de servicios de confianza según eIDAS" . Criptomático . Consultado el 22 de junio de 2016 .
- ^ a b c d e “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93 / CE” . EUR-Lex . EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA . Consultado el 18 de marzo de 2016 .
- ^ a b Turner, Dawn. "Entendiendo eIDAS" . Criptomático . Consultado el 12 de abril de 2016 .
- ^ "Directiva 1999/93 / CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 sobre un marco comunitario para la firma electrónica" . Diario Oficial del Parlamento Europeo . Consultado el 22 de junio de 2016 .
- ^ Turner, Dawn M. "eIDAS de directiva a regulación" . Criptomático . Consultado el 29 de junio de 2016 .
- ^ Bender, Jens. "Regulación eIDAS: EID - Oportunidades y riesgos" (PDF) . Bunde.de . Fraunhofer-Gesellschaft . Consultado el 18 de marzo de 2016 .
- ^ "Firmas e infraestructuras electrónicas (ESI); Evaluación de la conformidad del proveedor de servicios de confianza: requisitos para los organismos de evaluación de la conformidad que evalúan a los proveedores de servicios de confianza" (PDF) . Instituto Europeo de Normas de Telecomunicaciones . Consultado el 22 de junio de 2016 .
- ^ Turner, Dawn M. "Firmas electrónicas avanzadas para eIDAS" . Criptomático . Consultado el 22 de junio de 2016 .
- ^ Kerikmäe, Tanel; Rull, Addi (2016). El futuro del derecho y las tecnologías electrónicas . Saltador. págs. 63–64. ISBN 978-3-319-26894-1.
- ^ "Reglamentos, Directivas y otros actos" . Europa.eu . La Unión Europea. Archivado desde el original el 12 de diciembre de 2013 . Consultado el 18 de marzo de 2016 .
- ^ "Autoridades de certificación y otros proveedores de servicios de confianza" . Instituto Europeo de Normas de Telecomunicación . Consultado el 22 de junio de 2016 .
- ^ Der Schweizerische Bundesrat. "Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur (Verordnung über die elektronische Signatur, VZertES)" . Consultado el 12 de mayo de 2016 .
- ^ "FIPS PUB 186-4 - PUBLICACIÓN DE ESTÁNDARES DE PROCESAMIENTO DE INFORMACIÓN FEDERAL: Estándar de firma digital (DSS)" (PDF) . Instituto Nacional de Estándares y Tecnología . Consultado el 22 de junio de 2016 .
- ^ Turner, Dawn. "¿Es legalmente vinculante el estándar DSS de firma digital del NIST?" . Criptomático . Consultado el 22 de junio de 2016 .
- ^ Hölbl, Marko. "Posición sobre los servicios de identificación electrónica y de confianza (eIDAS)" (PDF) . Consejo de Sociedades Europeas de Informática Profesional (CEPIS) . Consultado el 24 de junio de 2016 .
- ^ van Zijp, Jacques. "¿Está la UE preparada para eIDAS?" . Alianza de identidad segura. Archivado desde el original el 22 de noviembre de 2016 . Consultado el 24 de junio de 2016 .