Toda la información:
Certificado digital cualificado
Descripción
Según el eIDAS, para ser considerado un certificado digital cualificado, el certificado debe cumplir con los requisitos previstos en el Anexo I del Reglamento (UE) nº 910/2014, entre otros:
- Identificación de que el certificado es un certificado cualificado para la firma electrónica
- Identificación del prestador de servicios de confianza cualificado que emitió el certificado cualificado, incluyendo dicha información
- Datos de validación de la firma electrónica y datos de creación de la firma electrónica correspondientes
- Indicación del período de validez del certificado
- Código único de identidad del certificado del prestador de servicios de confianza
- Firma electrónica avanzada o sello electrónico del prestador de servicios de confianza cualificado.
Visión
Función de un proveedor de servicio de confianza cualificado
- Proporcionar un sello de fecha y hora válidos de cuando se creó el certificado,
- la revocación inmediata de cualquier firma que tenga un certificado caducado,
- proporcionar una formación adecuada a todos sus empleados que participen en la prestación de servicios de confianza,
- cualquier equipo o software que se utilice para los servicios de confianza debe ser de confianza y capaz de evitar la falsificación de certificados.
Implicaciones legales de firmas electrónicas con certificados digitales cualificados
Perspectiva global
En Estados Unidos, la norma NIST Digital Signature Standard (DSS) no proporciona una norma comparable para regular los certificados cualificados que aborde el no repudio del certificado cualificado de un firmante. Actualmente se está debatiendo una enmienda a la DSS del NIST que estaría más en consonancia con el modo en que eIDAS y ZertES gestionan los servicios de confianza.
Firma electrónica cualificada
Descripción
Una firma electrónica cualificada es una firma electrónica avanzada con un certificado digital cualificado que ha sido creada por un dispositivo cualificado de creación de firmas (QSCD). Para que una firma electrónica se considere cualificada, debe cumplir tres requisitos principales: En primer lugar, el firmante debe estar vinculado e identificado de forma única con la firma. El segundo es que los datos utilizados para crear la firma deben estar bajo el control exclusivo del firmante. Y por último debe tener la capacidad de identificar si los datos que acompañan a la firma han sido manipulados desde la firma del mensaje.
Es importante tener en cuenta que la creación de una firma electrónica cualificada es algo más que añadir un certificado cualificado a una firma electrónica avanzada. La firma también debe crearse utilizando un dispositivo cualificado de creación de firmas (QSCD). Este dispositivo se encarga de calificar las firmas electrónicas mediante el uso de hardware y software específicos que garantizan que el firmante sólo tiene el control de su clave privada. Además, un proveedor de servicios de confianza cualificado gestiona los datos de creación de firma que se producen. Los datos de creación de la firma deben ser únicos, confidenciales y estar protegidos contra la falsificación.
Las firmas electrónicas cualificadas que cumplen con el eIDAS pueden ser implementadas técnicamente a través de tres estándares específicos de firma digital XAdES, PAdES y CAdES que fueron desarrollados por el Instituto Europeo de Normas de Telecomunicaciones (ETSI) y luego necesitan ser complementados con un certificado digital cualificado a través de los procedimientos descritos anteriormente.
Proveedores de servicio de confianza cualificados
- El proveedor de servicios debe proporcionar una fecha y hora válidas para los certificados creados.
- Las firmas con certificados caducados deben ser revocadas inmediatamente.
- El personal empleado por el proveedor de servicios de confianza cualificado debe estar debidamente formado.
- El software y el hardware utilizados por el proveedor de servicios deben ser fiables y capaces de evitar la falsificación de certificados.
Visión e impacto esperado
Anteriormente, un firmante firmaba un documento o mensaje y luego lo devolvía al destinatario a través del servicio postal, el servicio de fax, a mano o escaneándolo y adjuntándolo a un correo electrónico. El problema de estos métodos es que no siempre son seguros o puntuales. Pueden producirse retrasos en la entrega y existe la posibilidad de que se falsifiquen las firmas o se alteren los documentos adjuntos. El riesgo aumenta cuando se requieren múltiples firmas de diferentes personas que pueden estar ubicadas en diferentes lugares. Estos problemas se alivian con el uso de firmas electrónicas cualificadas, que ahorran tiempo, son legalmente vinculantes y proporcionan un mayor nivel de seguridad técnica.
Se espera que la mayor transparencia en el proceso de firma y transacción electrónicas y la mayor interoperabilidad estimulen la innovación en el mercado interior europeo.
Implicaciones legales
De acuerdo con el Reglamento eIDAS, artículo 27, Firma electrónica en los servicios públicos, se prohíbe a los Estados miembros solicitar firmas de un nivel superior al de la firma electrónica cualificada. El artículo 25 (2) del eIDAS permite que una firma electrónica cualificada tenga el mismo peso legal que una firma manuscrita.