Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio/General/España, a la vanguardia de las firmas electrónicas (II)

España, a la vanguardia de las firmas electrónicas (II)

Por Deja un comentario

Segunda y última entrega que completa el artículo donde se
recogen aspectos fundamentales sobre la firma electrónica y
los puntos más relevantes del reciente Decreto-Ley que regula
esta tecnología en España.
Los requisitos que enumera el artículo 8 para que un certificado sea
reconocido incluyen: la indicación de que se expiden como tales; el
código identificativo único del certificado; la identificación del
prestador de servicios de certificación que expide el certificado (es
decir, de la autoridad de certificación); la firma electrónica
avanzada del prestador de servicios de certificación que expide el
certificado (la firma digital de la AC que da fe de que el certificado
expedido es válido); la identificación del signatario, por su nombre y
apellidos o a través de un seudónimo que conste como tal de manera
inequívoca (a menudo se incluyen otros datos, como su página web
personal o su dirección de correo o alguna otra información relevante
para el certificado); los datos de verificación de firma (es decir, la
clave pública) que correspondan a los datos de creación de firma que
se encuentren bajo el control del signatario (su clave privada); el
comienzo y el fin del período de validez del certificado; los límites
de uso del certificado, si se prevén; los límites del valor de las
transacciones para las que puede utilizarse el certificado, si se
establecen.

Por su parte, los artículos 7, 11 y 12 recogen las obligaciones
exigibles a los prestadores de servicios de certificación que expidan
certificados reconocidos, entre las que destacan: la comprobación de
la identidad de los solicitantes de los certificados (ya que si esta
verificación no se realiza rigurosamente, toda la idea de certificados
y firmas digitales pierde su validez), no almacenar las claves
privadas de los usuarios, informar debidamente a los solicitantes
acerca de precios y condiciones de utilización de los certificados,
mantener un registro de todos los certificados emitidos y de su estado
de validez, indicar la fecha y la hora en las que se expidió o se dejó
sin efecto un certificado, demostrar la fiabilidad necesaria de sus
servicios, garantizar la rapidez y la seguridad en la prestación del
servicio, emplear personal cualificado y con la experiencia necesaria
para la prestación de los servicios ofrecidos, en el ámbito de la
firma electrónica y los procedimientos de seguridad y de gestión de
terceros interesados, utilizar sistemas y productos fiables protegidos
contra toda alteración, tomar medidas contra la falsificación de
certificados, conservar registrada toda la información y documentación
relativa a un certificado reconocido durante quince años, utilizar
sistemas fiables para almacenar certificados.

Un párrafo importante en el artículo 12 es el g), en el que se exige
“disponer de los recursos económicos suficientes para operar de
conformidad con lo dispuesto en este Real Decreto-Ley y, en
particular, para afrontar el riesgo de la responsabilidad por daños y
perjuicios. Para ello habrán de garantizar su responsabilidad frente a
los usuarios de sus servicios y terceros afectados por éstos. La
garantía a constituir podrá consistir en un afianzamiento mercantil
prestado por una entidad de crédito o en un seguro de caución.
Inicialmente, la garantía cubrirá, al menos, el 4 por 100 de la suma
de los importes límite de las transacciones en que puedan emplearse el
conjunto de los certificados que emita cada prestador de servicios de
certificación. Teniendo en cuenta la evolución del mercado, el
Gobierno, por Real Decreto, podrá reducir el citado porcentaje hasta
el 2 por 100. En caso de que no se limite el importe de las
transacciones en las que puedan emplearse al conjunto de los
certificados que emita el prestador de servicios de certificación, la
garantía a constituir cubrirá, al menos, su responsabilidad por un
importe de 1.000.000.000 de pesetas (6.010.121,04 euros). El Gobierno,
por Real Decreto, podrá modificar el referido importe”.

Este artículo define claramente la responsabilidad civil de los
prestadores de servicios de certificación, hasta ahora muy imprecisa,
y por lo tanto elemento que retraía su despliegue. Los usuarios de
certificados y de firmas digitales saben así (es deber del PSC
informarles) a qué atenerse en caso de que existan irregularidades con
sus firmas, de las cuales se demuestre la responsabilidad del PSC,
bien por negligencia, bien por algún fallo de seguridad o técnico en
sus equipos.

Se incorpora además una novedad en el texto, para permitir que la
certificación pueda recoger la fecha y la hora en la que se produce la
actividad certificante. Piénsese que, en muchas situaciones, el mero
hecho de saber que un documento fue firmado no es suficiente, ya que
se necesita poseer constancia de la fecha y hora de la firma. Esta
circunstancia se vuelve especialmente evidente en el caso de que un
certificado haya sido revocado, para saber si un documento fue firmado
antes o después de la inutilización del certificado del signatario.

También se presta especial atención a los datos personales de los
solicitantes de certificados manipulados por los PSC, que se sujetan a
lo dispuesto en la LORTAD y en las disposiciones dictadas en su
desarrollo.

Resumiendo, la firma electrónica proporciona un abanico importante de
servicios, como autenticación, integridad, no repudio, auditabilidad,
que dotan a los documentos electrónicos así firmados de una validez
legal y responsabilidad civil equivalentes a las de la firma
manuscrita sobre documentos en papel. Las consecuencias de la rápida
adopción de la inminente reglamentación en materia de firma
electrónica serán la dinamización del comercio electrónico y
agilización de las transacciones financieras y de todo tipo. Se prevé
que este Decreto-Ley se transforme en otro agente impulsor del
desarrollo de la sociedad de la información, en la medida en que
contribuye a fomentar la adopción de técnicas digitales y de
tecnologías de la información y comunicaciones en sustitución de las
anticuadas y lentas gestiones rellenando formularios, albaranes,
contratos en papel y demás procesos que hasta el momento se venían
haciendo de forma manual con medios físicos.

Los retos inmediatos a que se enfrenta España son la creación de una
estructura de certificación sólida, mediante la progresiva
consolidación de los PSC existentes y exploración de nuevos árboles de
certificación. Por otro lado, las empresas deben recoger el testigo y
familiarizarse con las tecnologías de PKI y certificados digitales
para aumentar la seguridad global de sus negocios y dar el paso hacia
la gestión digital de su burocracia interna, con otras empresas y con
la Administración. Se trata de un esfuerzo común, en el que todos
tomamos parte. La aceptación social y cobertura legal de las firmas
electrónicas pavimentará sin duda la carretera hacia la nueva
revolución de la información.

Más información:
Texto completo del Decreto-Ley en

Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #56
http://www.iec.csic.es/criptonomicon

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.