Dispositivo de creación de firmas seguro

Un dispositivo seguro de creación de firmas es un tipo específico de hardware o software informático que se utiliza para crear una firma electrónica. Para ser puesto en servicio como dispositivo seguro de creación de firmas (SSCD), el dispositivo debe cumplir los rigurosos requisitos establecidos en el anexo II del Reglamento (UE) n.º 910/2014 (eIDAS), donde se denomina dispositivo de creación de firmas (electrónicas) cualificadas (QSCD). El uso de dispositivos seguros de creación de firmas contribuye a facilitar los procesos comerciales en línea que ahorran tiempo y dinero en las transacciones realizadas en los sectores público y privado.[1][2][3]

DescripciónEditar

Los requisitos mínimos que deben cumplirse para elevar un dispositivo de creación de firmas electrónicas al nivel de dispositivo seguro de creación de firmas figuran en el anexo II del eIDAS. Mediante los medios técnicos y de procedimiento adecuados, el dispositivo debe garantizar razonablemente la confidencialidad de los datos utilizados para crear una firma electrónica. Además, debe garantizar que los datos utilizados para crear una firma electrónica son únicos y sólo se utilizan una vez. Por último, sólo permitirá que un proveedor de servicios de confianza cualificado o una autoridad de certificación cree o gestione los datos de la firma electrónica de un firmante.[2]

Para garantizar la seguridad, los datos de creación de la firma utilizados por el SSCD para crear una firma electrónica deben proporcionar una protección razonable mediante la tecnología actual para evitar la falsificación o duplicación de la firma. Los datos de creación deben permanecer bajo el control exclusivo de su firmante para evitar su uso no autorizado. El propio SSCD tiene prohibido alterar los datos de acompañamiento de la firma.[1]

Cuando un prestador de servicios de confianza o una autoridad de certificación pone en servicio un SSCD, debe preparar el dispositivo de forma segura, de acuerdo con el anexo II del eIDAS, cumpliendo plenamente las tres condiciones siguientes:[4][1]

  1. Mientras esté en uso o almacenado, el SSCD debe permanecer seguro.
  2. Además, la reactivación y desactivación del SSCD debe producirse en condiciones de seguridad.
  3. Todos los datos de activación del usuario, incluidos los códigos PIN, deben entregarse por separado del SSCD después de haber sido preparados de forma segura.

Requisitos de garantía de seguridad internacionales para SSCDsEditar

El dispositivo seguro de creación de firmas también debe cumplir la norma internacional de certificación de la seguridad informática, denominada Criterios Comunes para la Evaluación de la Seguridad de las Tecnologías de la Información (ISO/IEC 15408).[5]​ . Esta norma ofrece a los usuarios de sistemas informáticos la posibilidad de especificar los requisitos de seguridad a través de perfiles de protección (PP) para los requisitos funcionales de seguridad (SFR) y los requisitos de garantía de seguridad (SARs).[1][3]​ . El proveedor de servicios de confianza o la autoridad de certificación deben aplicar los requisitos especificados y dar fe de los atributos de seguridad de su producto. A continuación, un laboratorio de pruebas de terceros evalúa el dispositivo para garantizar que el nivel de seguridad es el declarado por el proveedor..[6]

Servicio de autentificación centralEditar

Cuando un dispositivo seguro de creación de firmas se utiliza como parte de un servicio central de autenticación (CAS), puede actuar como servidor CAS en escenarios de autenticación de varios niveles. El protocolo de software CAS permite autenticar a los usuarios al firmar en una aplicación web..

El esquema común de un protocolo CAS incluye el navegador web del cliente, una aplicación que solicita la autenticación y el servidor CAS. Cuando se necesite la autenticación, la aplicación enviará una solicitud al servidor CAS. El servidor comparará entonces las credenciales del usuario con su base de datos. Si la información coincide, el CAS responderá que el usuario ha sido autenticado.[1][3]

Implicaciones legales con respecto a dispositivos de creación de firma segurosEditar

El eIDAS ha proporcionado un enfoque escalonado para determinar las implicaciones legales de las firmas electrónicas. Se considera que una firma creada con un dispositivo seguro de creación de firmas tiene el mayor valor probatorio. Un documento o un mensaje que ha sido firmado con un dispositivo de este tipo es no-repudiable, lo que significa que el firmante no puede negar que es responsable de la creación de la firma.[2]

El Reglamento (UE) n.º 910/2014 (eIDAS) evolucionó a partir de la Directiva 1999/93/CE, la Directiva sobre las firmas electrónicas. La intención de la directiva era hacer que los Estados miembros de la UE fueran responsables de crear una legislación que permitiera la creación del sistema de firma electrónica de la Unión Europea. El Reglamento eIDAS exigía que todos los Estados miembros siguieran sus especificaciones para la firma electrónica antes de su fecha de entrada en vigor, el 1 de julio de 2016.[7][8]

ReferenciasEditar

  1. a b c d e Turner, Dawn M. «What is a secure signature creation device». Cryptomathic. Consultado el 18 November 2016. 
  2. a b c Turner, Dawn. «Understanding eIDAS». Cryptomathic. Consultado el 12 April 2016. 
  3. a b c «Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC». EUR-Lex. The European Parliament and the Council of the European Union. Consultado el 18 March 2016. 
  4. «Electronic Signatures and Infrastructures: Policy requirements for certification authorities issuing qualified certificates». European Telecommunications Standards Institute. Consultado el 18 November 2016. 
  5. «ISO/IEC 15408-1:2009 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model». International Organization for Standardization (ISO). Consultado el 18 November 2016. 
  6. Turner, Dawn M. «Trust service providers according to eIDAS». Cryptomathic. Consultado el 18 November 2016. 
  7. Turner, Dawn M. «eIDAS from Directive to Regulation - Legal Aspects». Cryptomathic. Consultado el 18 March 2016. 
  8. «Regulations, Directives and other acts». Europa.eu. The European Union. Archivado desde el original el 12 December 2013. Consultado el 18 March 2016. 

Enlaces externosEditar