Hoy exploraremos qué documentos es recomendable conocer si eres un proveedor de servicios de aplicaciones de confianza (Trust Application Service Providers -TASP-).
Primero, ¿qué es un TASP?
Es un proveedor de servicios de confianza que opera servicios de valor añadido que aplican firmas electrónicas y se soportan en servicios de generación y validación de firmas electrónicas en la operativa ordinaria. ¿Cómo se os ha quedado el cuerpo? Algunos ejemplos son:- REM: Registered E-Mail service: el propósito básico de servicio de e-mail registrado es proporcionar a los usuarios, además de los servicios habituales proporcionados por los proveedores de servicios de correo electrónico común, un conjunto de pruebas adecuado para defender declaraciones de aceptación (es decir, de "envío"), de entrega / no entrega, de recuperación, etc, de los e-mails enviados/ entregados a través de este servicio.
- Data preservation service provider (DPSP): los registros electrónicos pueden proporcionar una base sólida para el mantenimiento de objeto de datos, y con la aplicación de buenas prácticas pueden resultar más seguro y robusto que el uso de papel. La cuestión clave es asegurar la integridad, la autenticidad y la legibilidad de los objetos de datos conservados a lo largo de todo el período de almacenamiento.
- Entrega electrónica (cualificada - QEDS): servicio que hace posible la transmisión de datos por vía electrónica y proporciona pruebas relacionadas con el manejo de los datos transmitidos, incluyendo prueba de envío o recepción de los datos. El servicio además protege los datos transmitidos contra el riesgo de pérdida, robo, daño o alteraciones no autorizadas. Si, además, el servicio de entrega es cualificado debe cumplir:
- ser prestados por uno o más proveedores de servicios de confianza cualificados;
- asegurar con un alto nivel de fiabilidad la identificación del remitente;
- antes de la entrega de los datos, garantizar la identificación del destinatario;
- estar protegidos el envío y recepción de datos por una firma electrónica avanzada o un sello electrónico avanzado de un prestador cualificado de servicios de confianza de tal forma que se impida la posibilidad de que se modifiquen los datos sin que se detecte;
- indicar claramente al emisor y al destinatario de los datos cualquier modificación de los datos necesarios a efectos del envío o recepción de los datos;
- indicar mediante una marca de tiempo electrónica cualificada la fecha y hora de envío, recepción y eventual modificación de los datos;
- en caso de que los datos se transfieren entre dos o más proveedores de servicios de confianza cualificados, se aplicarán los requisitos establecidos en los puntos 1. a 6. a todos los proveedores de servicio de confianza cualificados.
Entonces, si proveo alguno de estos servicios, ¿qué estándares he de conocer?
Según el borrador del Informe Técnico ETSI TR 119 500 V0.0.5 (2014-01) Electronic Signatures and Infrastructures (ESI); Business Driven Guidance for Trust Application Service Providers tendríamos la siguiente matriz de documentos que serían de aplicación y que por lo tanto, debería conocer.
En esta ocasión no he encontrado versiones públicas de los documentos de la matriz, así que debajo de cada matriz he enlazado a los documentos actuales que mejor cubren los temas tratados. Por favor, si conoces alguna versión posterior o alguna versión pública que no haya enlazado, te agradecería que lo comentaras.
Para el servicio REM:
Estándar
| Elementos | |||||
| Req's de firma | Req's de seguridad | Evidencia: semántica y formato | Formatos y vínculos | Perfiles de interoperabilidad | Evaluación de conformidad | |
| EN 319 511 Policy & Security Requirements for Registered Electronic Mail (REM) Service Providers | X | X | X | |||
| EN 319 512 Registered Electronic Mail Services | X | X | X | X | X | |
| EN 319 513 Conformity Assessment of Registered Electronic Mail Service Providers | X | |||||
| TS 119 514 Testing Compliance & Interoperability of Registered Electronic Mail Service Providers | X | X | X | |||
ETSI TS 102 640; Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM);
- Part 1: Architecture;
- Part 2: Data requirements, Formats and Signatures for REM;
- Part 3: Information Security Policy Requirements for REM Management Domains;
- Part 4: REM-MD Conformance Profiles;
- Part 5: REM-MD Interoperability Profiles;
- y la Part 6: Interoperability Profiles que se divide a su vez en subpartes, a saber:
Para los servicios DPSP:
Estándar
| Elementos | |||||
| Req's de firma y formato | Req's de seguridad | Evidencia | Time- stamping | Perfiles de interoperabilidad | Evaluación de conformidad | |
| EN 319 521 Policy & Security Requirements for Data Preservation Service Providers (DPSPs) | X | X | X | |||
| EN 319 522 Data Preservation Services through signing | X | X | X | X | ||
| EN 319 523 Conformity Assessment of Data Preservation Service Providers | X | X | ||||
ETSI TS 101 533; Electronic Signatures and Infrastructures (ESI); Data Preservation Systems Security;
¿Y los QEDS?
Desde luego es uno de los servicios más golosos regulado por el REGLAMENTO #eIDAS, pero parece que los estándares que lo desarrollen están por venir, al menos hasta donde yo sé.
Permaneceré atento a novedades sobre este punto y agradecería a cualquier que tenga información al respecto que la comparta (gracias por adelantado!).
--
Si este artículo te ha parecido interesante, por favor, compártelo.
