A nivel europeo, ENISA, ha publicado recientemente una serie de guías para garantizar la seguridad de alto nivel de servicios de confianza calificados. El Reglamento EIDAS prevé un esquema de supervisión activa de los proveedores de servicios de confianza calificados (QTSP) y de los servicios de confianza calificados (QTS) que proporcionan los órganos nacionales de supervisión competentes (SB) que supervisan, ex ante y ex puesto, el cumplimiento de los requisitos y obligaciones legales. Su objetivo es asegurar que, desde el inicio hasta la finalización de estos servicios, los QTSP y los QTS que proporcionan, cumplen los requisitos establecidos en el Reglamento.

 

Los informes proporcionan recomendaciones y directrices a los grupos de interés de eIDAS:

– Guía sobre el inicio de servicios de confianza calificados.

– Guía sobre supervisión de servicios de confianza calificados.

– Guía sobre la finalización de servicios de confianza calificados.

 

También ha publicado unos informes para apoyar en el cumplimiento de los requisitos derivados de los artículos no obligatorios del reglamento del eIDAS:

– Recomendaciones para los QTSP basados en estándares.

– Evaluación de la conformidad de los proveïdores de servicios de confianza.

– Marco de seguridad para proveedores de Servicios de confianza.

 

Por otro lado, ETSI, para promover el reconocimiento de servicios a la UE, trabaja en la normalización de eSignature /eSealvalidation, y se adapta a los requisitos de seguridad y políticas dentro del esquema de la UE para la supervisión de los servicios (calificados) eSignature / eSealvalidation, así como especificar el protocolo y el informe de validación. El trabajo pretende proporcionar estándares que garanticen la connivencia de varias soluciones (por ejemplo, enlaces de protocolos).

Las normas que proporciona la ETSI tienen como objetivo apoyar no sólo a eIDAS, sinó también a otros marcos legales o normativos.

 

Las necesidades actuales de estándares por cumplimiento deeIDAS:

– Validación de A(d)SE: Necesidad de un algoritmo (EN 319 102-1) y de informar (TS 119 102-2).

– Validación de QES: Necesidad de especificar reglas para validar requisitos «legales» (arte. 32) (TS 119 612, TS 119 172-4).

– Servicio de validación (TSP compatible): Necesidad del protocolo (TS 119 442) y de las políticas de seguridad (EN 319 401, TS 119 101, TS 119 441).

– Servicios de validación calificados: Necesidad de mapear los requisitos legales a las especificaciones técnicas para apoyar a las evaluaciones (TS 119 441) y de informar «resultado correcto» y «problemas relativos a la seguridad»

(TS 119 102-2).

 

ETSI está trabajando con la norma ETSI TS 119 441, (Política de Servicio de Validación de la  Firma), basada en la ETSI EN 319 401 para requisitos generales. En esta nueva norma se definirán dos políticas: una política principal que no será específica de la UE y otra para el Servicio de validación de la firma cualificada de la UE, con el mismo nivel de seguridad. Distinguirá cuatro elementos diferentes:

 OVR: requisitos globales;

SVP: requisitos del protocolo de validación de la firma;

VRP: requisito del proceso de validación de la firma

SVR: requisitos de informe de validación de la firma.

 

Aun así, para finales de agosto de este año se espera la publicación de:

– ETSI TS 119 441 Política de servicio de validación de la firma, basada en la ETSI EN 319 401 para requisitos generales. En  esta nueva norma se definirán dos políticas: una política principal que no será específica de la UE y otra para el servicio de validación de la firma cualificada de la UE, con el mismo nivel de seguridad.

– ETSI TS 119 442 sobre el protocolo de validación remota de firma digital y sello digital, donde se definirán dos implementaciones del protocolo: un XML y otro en sintaxis JSON.

– ETSI TS 119 102-2 sobre la información de validación de las firmas digitales AdES, alineada con los requisitos especificados a ETSI EN 319 102-1.

-1. U.S. Electronic Signature in Global and National Commerce Act of 2000 (ESIGN).

-2. Uniform Electronic Transactions Act (UETA).

Las directrices de la OCDE, las de UNCITRAL y las de la Cámara de comercio Internacional (ICC) también establecen un marco legal básico para la firma electrónica.

 

La firma electrónica ha sido regulada a nivel internacional en los siguientes países:

 Reconocida y con plena validez legal: Australia, Canadá, Chile, Colombia, Corea del Sur, Emiratos Árabes Unidos, Filipinas, Hong Kong, Nueva Zelanda, Perú, Singapur, Sudáfrica y Suiza.

  • Reconocida: China, India, Japón y Rusia.

Aun así, México (a efectos de las firmas relacionadas con impuestos) mantiene una lista de certificados expedidos con un estado que indica que se validó, revocó o caducó. Esto sustituye los mecanismos de verificación estándar de revocación (OCSP, CRL). Y Rusia, todavía mantiene restricciones de exportación muy estrictas sobre la tecnología de criptografía, que normalmente requieren operaciones criptográficas para ejecutar en Rusia, además de utilizar algoritmos especiales (por ejemplo, GOST).

En las jornadas organizadas por ETSI, países como Luxemburgo que tienen una larga experiencia en firma electrónica y que está ampliamente implantada en la sociedad, apuntan que se está trabajando en la identificación por vídeo del usuario. Por otro lado, se hacía mención que los stakeholders no confían en el almacenamiento de firmas y evidencias de aquí a 20 años.