Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

jueves, 24 de julio de 2014

¿Crees que el cubo de Rubik es difícil? Prueba con los estándares de firma electrónica II

En la entrada anterior de esta serie exploramos los tipos de documentos que conforman el cuerpo de estándares técnicos (especificaciones técnicas, guías, etc ...) que desarrollarán el ya en ciernes REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (#eIDAS, para los amigos) y su clasificación y numeración. Además detallamos qué documentos era recomendable conocer si eras un proveedor de servicios de confianza que soportaba firmas electrónicas (TR 119 400 V0.0.2 (2013-09) Business Guidance for Trust Service Providers Supporting Electronic Signatures Draft 0.0.2).

Hoy exploraremos qué documentos es recomendable conocer si eres un proveedor de servicios de aplicaciones de confianza (Trust Application Service Providers -TASP-).

Primero, ¿qué es un TASP?

Es un proveedor de servicios de confianza que opera servicios de valor añadido que aplican firmas electrónicas y se soportan en servicios de generación y validación de firmas electrónicas en la operativa ordinaria. ¿Cómo se os ha quedado el cuerpo? Algunos ejemplos son:

  • REM: Registered E-Mail service: el propósito básico de servicio de e-mail registrado es proporcionar a los usuarios, además de los servicios habituales proporcionados por los proveedores de servicios de correo electrónico común, un conjunto de pruebas adecuado para defender declaraciones de aceptación (es decir, de "envío"), de entrega / no entrega, de recuperación, etc, de los e-mails enviados/ entregados a través de este servicio.
  • Data preservation service provider (DPSP): los registros electrónicos pueden proporcionar una base sólida para el mantenimiento de objeto de datos, y con la aplicación de buenas prácticas pueden resultar más seguro y robusto que el uso de papel. La cuestión clave es asegurar la integridad, la autenticidad y la legibilidad de los objetos de datos conservados a lo largo de todo el período de almacenamiento.
  • Entrega electrónica (cualificada - QEDS): servicio que hace posible la transmisión de datos por vía electrónica y proporciona pruebas relacionadas con el manejo de los datos transmitidos, incluyendo prueba de envío o recepción de los datos. El servicio además protege los datos transmitidos contra el riesgo de pérdida, robo, daño o alteraciones no autorizadas. Si, además, el servicio de entrega es cualificado debe cumplir:
    1. ser prestados por uno o más proveedores de servicios de confianza cualificados;
    2. asegurar con un alto nivel de fiabilidad la identificación del remitente; 
    3. antes de la entrega de los datos, garantizar la identificación del destinatario; 
    4. estar protegidos el envío y recepción de datos por una firma electrónica avanzada o un sello electrónico avanzado de un prestador cualificado de servicios de confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte;
    5. indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos;
    6. indicar mediante una marca de tiempo electrónica cualificada la fecha y hora de envío, recepción y eventual modificación de los datos;
    7. en caso de que los datos se transfieren entre dos o más proveedores de servicios de confianza cualificados, se aplicarán los requisitos establecidos en los puntos 1. a 6. a todos los proveedores de servicio de confianza cualificados.

Entonces, si proveo alguno de estos servicios, ¿qué estándares he de conocer?

Según el borrador del Informe Técnico ETSI TR 119 500 V0.0.5 (2014-01) Electronic Signatures and Infrastructures (ESI); Business Driven Guidance for Trust Application Service Providers tendríamos la siguiente matriz de documentos que serían de aplicación y que por lo tanto, debería conocer.
En esta ocasión no he encontrado versiones públicas de los documentos de la matriz, así que debajo de cada matriz he enlazado a los documentos actuales que mejor cubren los temas tratados. Por favor, si conoces alguna versión posterior o alguna versión pública que no haya enlazado, te agradecería que lo comentaras.

Para el servicio REM:
Estándar
Elementos
Req's de firmaReq's de seguridadEvidencia: semántica y formatoFormatos y vínculosPerfiles de interoperabilidadEvaluación de conformidad
EN 319 511 Policy & Security Requirements for Registered Electronic Mail (REM) Service ProvidersXXX
EN 319 512 Registered Electronic Mail ServicesXXXXX
EN 319 513 Conformity Assessment of Registered Electronic Mail Service ProvidersX
TS 119 514 Testing Compliance & Interoperability of Registered Electronic Mail Service ProvidersXXX

ETSI TS 102 640; Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM);

Para los servicios DPSP:
Estándar
Elementos
Req's de firma y formatoReq's de seguridadEvidenciaTime-
stamping
Perfiles de interoperabilidadEvaluación de conformidad
EN 319 521 Policy & Security Requirements for Data Preservation Service Providers (DPSPs) XXX
EN 319 522 Data Preservation Services through signingXXXX
EN 319 523 Conformity Assessment of Data Preservation Service ProvidersXX

ETSI TS 101 533; Electronic Signatures and Infrastructures (ESI); Data Preservation Systems Security;

¿Y los QEDS?

Desde luego es uno de los servicios más golosos regulado por el REGLAMENTO #eIDAS, pero parece que los estándares que lo desarrollen están por venir, al menos hasta donde yo sé.
Permaneceré atento a novedades sobre este punto y agradecería a cualquier que tenga información al respecto que la comparta (gracias por adelantado!).

--
Si este artículo te ha parecido interesante, por favor, compártelo.