Prestador de servicios de confianza

persona física o jurídica que proporciona y conserva certificados digitales para crear y validar firmas electrónicas y autenticar a sus firmantes, así como sitios web en general

Un prestador de servicios de confianza (TSP) es una persona física o jurídica que proporciona y conserva certificados digitales para crear y validar firmas electrónicas y autenticar a sus firmantes, así como sitios web en general.[1][2]​ Los prestadores de servicios de confianza son autoridades de certificación cualificadas que se exigen en la Unión Europea y en Suiza en el contexto de los procedimientos de firma electrónica regulados.[3]

HistoriaEditar

El término prestador de servicios de confianza fue acuñado por el Parlamento Europeo y el Consejo Europeo como autoridad importante y relevante que proporciona el no repudio a un procedimiento de firma electrónica regulado. Apareció por primera vez en la Directiva sobre firmas electrónicas 1999/93/CE y se denominó inicialmente prestador de servicios de certificación. La directiva fue derogada por el Reglamento eIDAS que se hizo oficial el 1 de julio de 2016.[2][4]​ Un reglamento es un acto legislativo vinculante que deben seguir todos los Estados miembros de la UE.[5]

DescripciónEditar

El prestador de servicios de confianza tiene la responsabilidad de garantizar la integridad de la identificación electrónica de los firmantes y los servicios a través de mecanismos sólidos de autenticación, firmas electrónicas y certificados digitales. El eIDAS define las normas sobre cómo los prestadores de servicios de confianza deben realizar sus servicios de autenticación y no repudio. El reglamento orienta a los Estados miembros de la UE sobre cómo deben regularse y reconocerse los prestadores de servicios de confianza

Un servicio de confianza se define como un servicio electrónico que conlleva una de las tres acciones posibles. La primera puede referirse a la creación, la verificación o la validación de firmas electrónicas, así como de sellos o estampas de tiempo, servicios de entrega registrados electrónicamente y certificaciones que se requieren con estos servicios. La segunda acción implica la creación, la verificación así como la validación de los certificados que se utilizan para autenticar los sitios web. La tercera acción es la conservación de estas firmas electrónicas, los sellos o los certificados correspondientes.

Para ser elevado al nivel de servicio de confianza cualificado, el servicio debe cumplir los requisitos establecidos en el Reglamento eIDAS. Los servicios de confianza proporcionan un marco de confianza que facilita las relaciones continuas para las transacciones electrónicas que se realizan entre los Estados miembros y las organizaciones participantes de la UE..[6][7]

Función de un prestador de servicio de confianza cualificadoEditar

El prestador de servicios de confianza cualificado desempeña un papel importante en el proceso de la firma electrónica cualificada. Los prestadores de servicios de confianza deben recibir el estatus de cualificados y el permiso de un organismo gubernamental de supervisión para proporcionar certificados digitales cualificados que puedan utilizarse para crear firmas electrónicas cualificadas. El eIDAS requiere que la UE mantenga una lista de confianza de la UE que enumere los prestadores y servicios que han recibido el estatus de cualificados. Un prestador de servicios de confianza no tiene derecho a prestar servicios de confianza cualificados si no figura en la lista de confianza de la UE.[6][8]

Los prestadores de servicios de confianza que están en la lista de confianza de la UE deben seguir las estrictas directrices establecidas en el marco del eIDAS. Tienen que proporcionar sellos válidos en tiempo y fecha, al crear los certificados. Las firmas con certificados caducados deben ser revocadas inmediatamente. La UE obliga a los prestadores de servicios de confianza a impartir una formación adecuada a todo el personal empleado por el prestador de servicios de confianza. Además, deberán proporcionar herramientas, como software y hardware, que sean fiables y capaces de impedir la falsificación de los certificados que se produzcan.[6][9]

VisiónEditar

Uno de los principales objetivos del eIDAS era facilitar los servicios públicos y empresariales, especialmente los que se realizan entre partes a través de las fronteras de los Estados miembros de la UE. Estas transacciones pueden ahora agilizarse de forma segura gracias a la firma electrónica y a los servicios que prestan los prestadores de servicios de confianza para garantizar la integridad de dichas firmas.

Los Estados miembros de la UE deben establecer, a través de eIDAS, "ventanillas únicas" (PSC) para los servicios de confianza que garanticen que los sistemas de identificación electrónica puedan utilizarse para las transacciones transfronterizas del sector público, incluido el intercambio y el acceso a la información sanitaria a través de las fronteras.[9][10][11]

La perspectiva legal de firmas electrónicas creada por prestadores de servicio de la confianzaEditar

Mientras que una firma electrónica avanzada es legalmente vinculante en virtud del eIDAS, una firma electrónica cualificada que haya sido creada por un prestador de servicios de confianza cualificado tiene un mayor valor probatorio cuando se utiliza como prueba en los tribunales. Dado que la autoría de la firma se considera irrefutable, la autenticidad de la firma no puede ser fácilmente cuestionada. Los Estados miembros de la UE están obligados a aceptar como válidas las firmas electrónicas cualificadas que hayan sido creadas con un certificado cualificado de otros Estados miembros. Según el Reglamento eIDAS, es decir, el artículo 24 (2), una firma creada con un certificado cualificado tiene el mismo valor legal que una firma manuscrita ante un tribunal.[9][3][12]

Las normas están evolucionando. El Instituto Europeo de Normas de Telecomunicación está elaborando normas adicionales que incluyen definiciones de políticas para los prestadores de servicios de confianza ETSI.[13]

Perspectiva globalEditar

La norma suiza de firma digital ZertES ha definido un concepto comparable de prestadores de servicios de certificación. Los prestadores de servicios de certificación deben ser auditados por organismos de evaluación de la conformidad que han sido designados por la Schweizerische Akkreditierungsstelle [de]. En Estados Unidos, el estándar de firma digital (DSS) del NIST, en su versión actual, no conoce nada comparable a un prestador de servicios de confianza cualificado que permita mejorar el no repudio a través del certificado cualificado del firmante. Sin embargo, los autores de la próxima revisión y los comentaristas están debatiendo públicamente una modificación similar al enfoque de la prestación de servicios de confianza de eIDAS y ZertES.[14][15]​ Para permitir unas transacciones globales rigurosas y no repudiables y una relevancia legal, sería necesaria una armonización internacional.

ControversiaEditar

Varios institutos de investigación y asociaciones expresaron su preocupación con respecto al establecimiento de un pequeño grupo de prestadores de servicios de confianza centralizados por país que autentifiquen las transacciones digitales. Afirman que esta construcción puede tener un impacto negativo en la privacidad. Dado el papel central de los prestadores de servicios de confianza en muchas transacciones, el Consejo de Sociedades Profesionales Europeas de Informática (CEPIS) teme que los prestadores de servicios de confianza obtengan y recopilen información de los atributos distintivos de los ciudadanos, que son objeto de autenticación. Con respecto a su obligación de preservar los datos y los esfuerzos resultantes esperados para conservar las pruebas para posibles solicitudes de responsabilidad sobre la identificación inexacta, el CEPIS ve el riesgo de que los prestadores de servicios de confianza puedan crear y almacenar entradas de registro de todos los procesos de autenticación. La información obtenida permite el seguimiento y la elaboración de perfiles de los ciudadanos implicados. Si la contraparte de la transacción también se identifica, los intereses del usuario y su comportamiento de comunicación afinarán adicionalmente los perfiles obtenidos. El análisis de los big data permitiría obtener información de gran alcance sobre la privacidad y las relaciones de los ciudadanos. La conexión directa con los organismos gubernamentales competentes podría permitirles acceder a los datos y perfiles obtenidos[16]

Otra publicación afirma que para aprovechar realmente las ventajas de las transacciones electrónicas transfronterizas seguras y sin fisuras, es necesario especificar con mayor precisión los niveles de garantía, las definiciones y el despliegue técnico.[17]

Véase tambiénEditar

ReferenciasEditar

  1. Turner, Dawn M. «Trust Service Providers according to eIDAS». Cryptomathic. Consultado el 22 June 2016. 
  2. a b «REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC». EUR-Lex. THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION. Consultado el 18 March 2016. 
  3. a b Turner, Dawn. «Understanding eIDAS». Cryptomathic. Consultado el 12 April 2016. 
  4. «Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures». Official Journal of the European Parliament. Consultado el 22 June 2016. 
  5. Turner, Dawn M. «eIDAS from Directive to Regulation». Cryptomathic. Consultado el 29 June 2016. 
  6. a b c Turner, Dawn M. «Trust Service Providers according to eIDAS». Cryptomathic. Consultado el 22 June 2016. 
  7. Bender, Jens. «eIDAS Regulation: EID - Opportunities and Risks». Bunde.de. Fraunhofer-Gesellschaft. Consultado el 18 March 2016. 
  8. «Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers». European Telecommunications Standards Institute. Consultado el 22 June 2016. 
  9. a b c «REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC». EUR-Lex. THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION. Consultado el 18 March 2016. 
  10. Turner, Dawn M. «Advanced Electronic Signatures for eIDAS». Cryptomathic. Consultado el 22 June 2016. 
  11. Kerikmäe, Tanel; Rull, Addi (2016). The Future of Law and eTechnologies. Springer. pp. 63-64. ISBN 978-3-319-26894-1. 
  12. «Regulations, Directives and other acts». Europa.eu. The European Union. Archivado desde el original el 12 December 2013. Consultado el 18 March 2016. 
  13. «Certification Authorities and other Trust Service Providers». European Telecommunication Standards Institute. Consultado el 22 June 2016. 
  14. «FIPS PUB 186-4 - FEDERAL INFORMATION PROCESSING STANDARDS PUBLICATION: Digital Signature Standard (DSS)». National Institute of Standards and Technology. Consultado el 22 June 2016. 
  15. Turner, Dawn. «Is the NIST Digital Signature Standard DSS Legally Binding?». Cryptomathic. Consultado el 22 June 2016. 
  16. Hölbl, Marko. «Position on the Electronic identification and trust services (eIDAS)». Council of European Professional Informatics Societies (CEPIS). Consultado el 24 June 2016. 
  17. van Zijp, Jacques. «Is the EU ready for eIDAS?». Secure Identity Alliance. Archivado desde el original el 22 November 2016. Consultado el 24 June 2016.