• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / España, a la vanguardia de las firmas electrónicas (II)

España, a la vanguardia de las firmas electrónicas (II)

5 octubre, 1999 Por Hispasec Deja un comentario

Segunda y última entrega que completa el artículo donde se
recogen aspectos fundamentales sobre la firma electrónica y
los puntos más relevantes del reciente Decreto-Ley que regula
esta tecnología en España.
Los requisitos que enumera el artículo 8 para que un certificado sea
reconocido incluyen: la indicación de que se expiden como tales; el
código identificativo único del certificado; la identificación del
prestador de servicios de certificación que expide el certificado (es
decir, de la autoridad de certificación); la firma electrónica
avanzada del prestador de servicios de certificación que expide el
certificado (la firma digital de la AC que da fe de que el certificado
expedido es válido); la identificación del signatario, por su nombre y
apellidos o a través de un seudónimo que conste como tal de manera
inequívoca (a menudo se incluyen otros datos, como su página web
personal o su dirección de correo o alguna otra información relevante
para el certificado); los datos de verificación de firma (es decir, la
clave pública) que correspondan a los datos de creación de firma que
se encuentren bajo el control del signatario (su clave privada); el
comienzo y el fin del período de validez del certificado; los límites
de uso del certificado, si se prevén; los límites del valor de las
transacciones para las que puede utilizarse el certificado, si se
establecen.

Por su parte, los artículos 7, 11 y 12 recogen las obligaciones
exigibles a los prestadores de servicios de certificación que expidan
certificados reconocidos, entre las que destacan: la comprobación de
la identidad de los solicitantes de los certificados (ya que si esta
verificación no se realiza rigurosamente, toda la idea de certificados
y firmas digitales pierde su validez), no almacenar las claves
privadas de los usuarios, informar debidamente a los solicitantes
acerca de precios y condiciones de utilización de los certificados,
mantener un registro de todos los certificados emitidos y de su estado
de validez, indicar la fecha y la hora en las que se expidió o se dejó
sin efecto un certificado, demostrar la fiabilidad necesaria de sus
servicios, garantizar la rapidez y la seguridad en la prestación del
servicio, emplear personal cualificado y con la experiencia necesaria
para la prestación de los servicios ofrecidos, en el ámbito de la
firma electrónica y los procedimientos de seguridad y de gestión de
terceros interesados, utilizar sistemas y productos fiables protegidos
contra toda alteración, tomar medidas contra la falsificación de
certificados, conservar registrada toda la información y documentación
relativa a un certificado reconocido durante quince años, utilizar
sistemas fiables para almacenar certificados.

Un párrafo importante en el artículo 12 es el g), en el que se exige
«disponer de los recursos económicos suficientes para operar de
conformidad con lo dispuesto en este Real Decreto-Ley y, en
particular, para afrontar el riesgo de la responsabilidad por daños y
perjuicios. Para ello habrán de garantizar su responsabilidad frente a
los usuarios de sus servicios y terceros afectados por éstos. La
garantía a constituir podrá consistir en un afianzamiento mercantil
prestado por una entidad de crédito o en un seguro de caución.
Inicialmente, la garantía cubrirá, al menos, el 4 por 100 de la suma
de los importes límite de las transacciones en que puedan emplearse el
conjunto de los certificados que emita cada prestador de servicios de
certificación. Teniendo en cuenta la evolución del mercado, el
Gobierno, por Real Decreto, podrá reducir el citado porcentaje hasta
el 2 por 100. En caso de que no se limite el importe de las
transacciones en las que puedan emplearse al conjunto de los
certificados que emita el prestador de servicios de certificación, la
garantía a constituir cubrirá, al menos, su responsabilidad por un
importe de 1.000.000.000 de pesetas (6.010.121,04 euros). El Gobierno,
por Real Decreto, podrá modificar el referido importe».

Este artículo define claramente la responsabilidad civil de los
prestadores de servicios de certificación, hasta ahora muy imprecisa,
y por lo tanto elemento que retraía su despliegue. Los usuarios de
certificados y de firmas digitales saben así (es deber del PSC
informarles) a qué atenerse en caso de que existan irregularidades con
sus firmas, de las cuales se demuestre la responsabilidad del PSC,
bien por negligencia, bien por algún fallo de seguridad o técnico en
sus equipos.

Se incorpora además una novedad en el texto, para permitir que la
certificación pueda recoger la fecha y la hora en la que se produce la
actividad certificante. Piénsese que, en muchas situaciones, el mero
hecho de saber que un documento fue firmado no es suficiente, ya que
se necesita poseer constancia de la fecha y hora de la firma. Esta
circunstancia se vuelve especialmente evidente en el caso de que un
certificado haya sido revocado, para saber si un documento fue firmado
antes o después de la inutilización del certificado del signatario.

También se presta especial atención a los datos personales de los
solicitantes de certificados manipulados por los PSC, que se sujetan a
lo dispuesto en la LORTAD y en las disposiciones dictadas en su
desarrollo.

Resumiendo, la firma electrónica proporciona un abanico importante de
servicios, como autenticación, integridad, no repudio, auditabilidad,
que dotan a los documentos electrónicos así firmados de una validez
legal y responsabilidad civil equivalentes a las de la firma
manuscrita sobre documentos en papel. Las consecuencias de la rápida
adopción de la inminente reglamentación en materia de firma
electrónica serán la dinamización del comercio electrónico y
agilización de las transacciones financieras y de todo tipo. Se prevé
que este Decreto-Ley se transforme en otro agente impulsor del
desarrollo de la sociedad de la información, en la medida en que
contribuye a fomentar la adopción de técnicas digitales y de
tecnologías de la información y comunicaciones en sustitución de las
anticuadas y lentas gestiones rellenando formularios, albaranes,
contratos en papel y demás procesos que hasta el momento se venían
haciendo de forma manual con medios físicos.

Los retos inmediatos a que se enfrenta España son la creación de una
estructura de certificación sólida, mediante la progresiva
consolidación de los PSC existentes y exploración de nuevos árboles de
certificación. Por otro lado, las empresas deben recoger el testigo y
familiarizarse con las tecnologías de PKI y certificados digitales
para aumentar la seguridad global de sus negocios y dar el paso hacia
la gestión digital de su burocracia interna, con otras empresas y con
la Administración. Se trata de un esfuerzo común, en el que todos
tomamos parte. La aceptación social y cobertura legal de las firmas
electrónicas pavimentará sin duda la carretera hacia la nueva
revolución de la información.

Más información:
Texto completo del Decreto-Ley en

Gonzalo Álvarez Marañón
criptonomicon@iec.csic.es
Boletín Criptonomicón #56
http://www.iec.csic.es/criptonomicon

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR