¿Qué es eIDAS y qué significa para mi negocio?

-
Construir confianza en el ambiente digital es la clave para el desarrollo social y económico. La percepción de una falta de normativa legal disminuye la confianza de consumidores, negociosos y autoridades públicas en hacer transacciones electrónicas y de adoptar nuevos servicios.

eIDAS fue creado para dar consistencia a las regulaciones en la Unión Europea respecto a firmas electrónicas, mejorando, de esta manera, la confianza.

¿Qué es eIDAS?



Es una firma digital que tiene por función principal el ser una base común para la interacción electrónica segura entre los ciudadanos, las empresas y las autoridades públicas transversales de las Unión Europea, implementada con el fin de aumentar la eficacia de los servicios en línea públicos y privados, negocios electrónicos y el comercio electrónico en la UE.

La regulación cambiará la firma digital directiva y cualquier inconsistencia en la ley de firma digital a lo largo de Europa. Fue aprobado por el Consejo de Asuntos Generales en julio de 2014, con la normativa de servicios de confianza que entra en vigor el 1ero de Julio de 2016. El reconocimiento mutuo obligatorio de las identidades electrónicas (eID) se aplicará a partir de mediados de 2018.
eIDAS cubre autenticación, sellos de firma, los servicios de entrega registrada y marcas de tiempo.

¿Cuáles son los beneficios de eIDAS?


La firma digital directiva (Directive 1999/93/EC) lleva 15 años y carece de definiciones de obligaciones de supervisión nacional del proveedor del servicio. Tampoco considera las nuevas tecnologías de cuentas que se han desarrollado desde su implementación. eIDAS traerá un nuevo escenario a la regulación de firmas digitales que apunta a:

  • Hacer las transacciones entre fronteras más seguras y confiables.
  • Permitir la transparencia y la estandarización en el mercado.
  • Garantizar la rendición de cuentas.
  • Permitir a los ciudadanos moverse a los Estados miembros reduciendo el papeleo mediante la administración online.
  • Disminuir la franja roja entre negocios, significando menos costos y un aumento en las ganancias.
  • Aumenta la flexibilidad y conveniencia en los servicios estatales.

¿A quién está dirigido eIDAS?


Cualquier persona o negocio operativo en la Unión Europea que use firma electrónica para verificación de identidad y transacciones electrónicas debiendo cumplir estas normas.

Tipo de firmas electrónicas como las define eIDAS – Calificadas vs. Avanzadas vs. Sellos Electrónicos.



La regulación eIDAS tiene definiciones para firmas electrónicas avanzadas (AdES) y firmas electrónicas calificadas (QES). Estas se establecen con el fin de garantizar la coherencia en todos los estados miembros de la UE en la forma en que la firma del documento se lleva a cabo.

Ambas AdES y QES proveen la identidad del registrado y son equivalentes a una firma de tinta. La principal diferencia es la aceptación por otro estado miembro de la UE (ejemplo: estados distintos al de origen del proveedor de confianza). AdES puede ser aceptada por otro Estado miembro, pero QES debe ser aceptada. También es importante mencionar que una AdES no negará los efectos jurídicos ni la admisibilidad del correo como prueba en procedimientos judiciales por haberse generado de forma electrónica o porque no cumpla los requerimientos para una firma electrónica calificada.

Finalmente eIDAS también introduce el reconocimiento de sellos electrónicos, que son como las firmas pero pertenecen solamente a personas legales y corporaciones. Esto permite a las organizaciones a firmar documentos como departamento en vez de tener que usar una forma autorizada por la empresa. Se espera que las marcas de tiempo sean utilizadas en todas las firmas electrónicas a fin de verificar el tiempo vinculado a la firma.


Niveles de Aseguramiento.


El artículo 8 de la nueva regulación establece tres niveles de garantía para los esquemas de identificación que son directamente proporcionales a su valor legal - bajo , sustancial y alto. Sea cual sea el nivel de garantía, los Estados que han notificado un esquema de identidad serán responsables de este, el registro de los operadores de datos y proveedores de identidad y autenticación incluido en el esquema notificado.

“Un nivel de aseguramiento bajo se referirá a una identificación electrónica dentro del contexto de la identificación electrónica del sistema, el cual provee un limitado grado de confidencia en la identidad reclamada o afirmada de una persona, y es caracterizada con referencias a especificaciones técnicas, normas y procedimientos relacionados con los mismos, incluidos los controles técnicos, el propósito de los cuales es disminuir el riesgo de uso indebido o alteraciones de identidad.”

Sin embargo, se puede ver cómo las credenciales de firma existentes pueden encajar en este enfoque escalonado, por ejemplo:

  1. Aseguramiento bajo: proporciona la confianza limitada en la identidad del firmante, por lo que este tipo de credencial puede sólo demostrar la propiedad de una dirección de correo electrónico.
  2. Aseguramiento substancial: proporciona un grado limitado de confianza en la identidad declarada de uno de los firmantes, por lo que para lograr este nivel de garantía puede que necesite demostrar la propiedad de una dirección de correo electrónico y la identidad del firmante.
  3. Aseguramiento alto: proporciona un alto grado de confianza en la identidad declarada de una persona. Además de demostrar la identidad de la persona, una credencial de aseguramiento alto también podría incluir la organización que el individuo representa.

Regulación eIDAS para los proveedores de servicios confiables.

Para que las firmas electrónicas pasen la calificación eIDAS, tienen que ser creadas usando un certificado digital comprado por “un proveedor de servicios confiable”, como una autoridad certificadora (AC). Es responsabilidad del prestador de servicios confiables el seguir las directrices establecidas por eIDAS, incluyendo:

  • Verificar identidad de atributos de la persona a la que se le emitió el certificado.

  1. Al tener a la persona físicamente presente (para aseguramiento bajo. puede ser una presencia electrónica).
  2. Informar a un órgano de supervisión de cualquier cambio en la prestación de sus servicios de confianza y cualquier intención de revocar certificados.
  3. Entrenar a un equipo en las mejores prácticas en información y seguridad.
  4. Ser capaz de almacenar los datos y certificados con la máxima seguridad y formas más elevadas de confianza, así como la toma de medidas para evitar la falsificación o robo.
  5. Mantener los datos en los certificados incluso después de que un certificado haya sido revocado por un período de tiempo apropiado. Esto se recomienda para ser hecho en una base de datos de certificados donde se puede registrar cualquier cambio como la revocación.

Resumen.


Los reglamentos eIDAS son redactados vagamente porque no pueden comprometerse a un cierto tipo de tecnología o proceso de validación. Como resultado, las definiciones están abiertas a la interpretación. Lo que podemos conjeturar de la regulación, es que un tribunal u órgano jurídico de gobierno, tendrá que ver que la firma electrónica esté firmada criptográficamente con una credencial expedida por un proveedor de servicios de confianza y con sellos de tiempo para evitar la manipulación.






Comentarios

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat...
Leer más

Todo comienza con el primer acceso

-
Imagen
Todo comienza con el primer acceso SSO para Clientes. Single Sign-On (SSO) es algo que funciona de maravilla, pero incluye mucho más de lo que parece. Aquí, voy a tratar de compartir algo de luz sobre la tecnología ... SSO es la (pieza compleja de) la tecnología que le permite navegar por Internet de un sitio a otro ya través de un poco de “magia” que no tiene que volver a autenticarse al entrar en el segundo servicio. Cuando funciona, usted es una persona feliz. Hay algunos temas subyacentes para ayudarle a entender de lo que hay bajo el capó del SSO. La autenticación y el nivel de seguridad (LOA) Todo comienza con el primer acceso. En aras de la simplicidad supongamos que ya se ha registrado a la primera aplicación. Dependiendo del nivel de confidencialidad de la información o recursos que está intentando acceder, es necesario utilizar la autenticación adecuada para la primera aplicación. La autenticación puede ser tan simple como la determin...
Leer más

Identidad y Acceso (AIM)

-
Imagen
¿AIM simple lujo o necesidad? Los servicios de identidad les permiten a las organizaciones implementar servicios electrónicos seguros, manejar identidades de empleados e identidades empresariales, y automatizar las implementaciones PKI para móviles, usuarios y maquinas. ¿Cuantas veces te ha ocurrido que más de una vez te a has olvidado de una o más de una de las claves corporativas que ocupas a diario? ¿Aburrido de tener que ingresar los datos de autenticación cada vez que se conecta a un servicio en su organización? ¿Los usuarios llaman seguido a soporte para recuperar sus contraseñas? Hoy en día muchas empresas mal gastan sus recursos y retrasan muchos procesos por el simple hecho de no contar con un sistema AIM, las soluciones buscan autenticar a un usuario en varias aplicaciones en Internet sin la necesidad de que lo hagan más de una vez agilizando procesos corporativos. Los datos de acceso son interceptados a través de un Proxy (AIM), de un componente en el servidor ...
Leer más