Certificado digital cualificado
En el contexto del Reglamento (UE) 910/2014 (eIDAS), un certificado digital cualificado es un certificado de clave pública emitido por un proveedor de servicios de confianza cualificado, que asegura la autenticidad e integridad de datos de una firma electrónica y su mensaje acompañante y/o dato adjuntado.[1]
Descripción
El eIDAS define varios niveles de firmas electrónicas que pueden utilizarse en la realización de transacciones del sector público y privado dentro y fuera de las fronteras de los Estados miembros de la UE. Se requiere un certificado digital cualificado, además de otros servicios específicos prestados por un proveedor de servicios de confianza cualificado, para elevar el estatus de una firma electrónica a la consideración de firma electrónica cualificada. Utilizando la criptografía, el certificado digital, también conocido como certificado de clave pública, contiene información que lo vincula a su propietario y la firma digital de la entidad de confianza que verifica la autenticidad del contenido que ha sido firmado.
Según el eIDAS, para ser considerado un certificado digital cualificado, el certificado debe cumplir con los requisitos previstos en el Anexo I del Reglamento (UE) nº 910/2014, entre otros:[1][2]
- Identificación de que el certificado es un certificado cualificado para la firma electrónica
- Identificación del prestador de servicios de confianza cualificado que emitió el certificado cualificado, incluyendo dicha información
- Datos de validación de la firma electrónica y datos de creación de la firma electrónica correspondientes
- Indicación del período de validez del certificado
- Código único de identidad del certificado del prestador de servicios de confianza
- Firma electrónica avanzada o sello electrónico del prestador de servicios de confianza cualificado.
Visión
La necesidad de no repudio y autenticación de las firmas electrónicas se abordó originalmente en la Directiva de Firmas Electrónicas 1999/93/CE para ayudar a facilitar las transacciones seguras, específicamente las que se producen a través de las fronteras de los Estados miembros de la UE. El Reglamento eIDAS sustituyó posteriormente a la Directiva y definió las normas que debían utilizarse en la creación de certificados digitales cualificados por parte de los proveedores de servicios de confianza.[2]
Función de un proveedor de servicio de confianza cualificado
Un certificado digital cualificado sólo puede ser emitido por un proveedor de servicios de confianza cualificado que haya recibido la autorización del organismo de supervisión de su Estado miembro para prestar servicios de confianza cualificados para crear firmas electrónicas cualificadas. El proveedor debe figurar en la Lista de Confianza de la UE; de lo contrario, no está autorizado a proporcionar certificados digitales cualificados u otros servicios de confianza cualificados. El prestador de servicios de confianza debe cumplir las directrices establecidas en el marco del eIDAS para la creación de certificados digitales reconocidos, entre las que se incluyen::[3][2]
- Proporcionar un sello de fecha y hora válidos de cuando se creó el certificado,
- la revocación inmediata de cualquier firma que tenga un certificado caducado,
- proporcionar una formación adecuada a todos sus empleados que participen en la prestación de servicios de confianza,
- cualquier equipo o software que se utilice para los servicios de confianza debe ser de confianza y capaz de evitar la falsificación de certificados.
Implicaciones legales de firmas electrónicas con certificados digitales cualificados
En los tribunales, una firma electrónica cualificada proporciona el mayor nivel de valor probatorio, lo que hace difícil refutar su autoría. Una firma electrónica cualificada, junto con su certificado cualificado, tiene la misma consideración que una firma manuscrita cuando se utiliza como prueba en un procedimiento judicial. La validez de una firma electrónica cualificada que haya sido creada con un certificado cualificado debe ser aceptada por otros Estados miembros de la UE, independientemente del Estado miembro en el que se haya producido la firma.[4]
Perspectiva global
En otras partes del mundo se han creado conceptos similares para definir normas de firma electrónica. En Suiza, el estándar de firma digital ZertES tiene normas comparables que abordan la conformidad y la regulación de los proveedores de servicios de confianza que producen certificados digitales.[5]
En Estados Unidos, la norma NIST Digital Signature Standard (DSS) no proporciona una norma comparable para regular los certificados cualificados que aborde el no repudio del certificado cualificado de un firmante. Actualmente se está debatiendo una enmienda a la DSS del NIST que estaría más en consonancia con el modo en que eIDAS y ZertES gestionan los servicios de confianza.[6][7]
Véase también
- Certificado de autentificación de sitio web cualificado
Referencias
- Turner, Dawn M. «What is a Qualified Digital Certificate for Electronic Signatures in eIDAS». Consultado el 10 de agosto de 2016.
- The European Parliament and the Council of the European Union. «REGULATION (EU) No 910/2014 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC». EUR-LEx. Consultado el 10 de agosto de 2016.
- Turner, Dawn M. «Trust Service Providers According to eIDAS». Cryptomathic. Consultado el 10 de agosto de 2016.
- «What Are Qualified Electronic Signatures? Are They by Definition Better than Other Types of Electronic Signatures?». Time.Lex. Consultado el 13 de junio de 2016.
- Swiss Federal Council. «Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur (Bundesgesetz über die elektronische Signatur, ZertES)». The Portal of the Swiss Government. Consultado el 10 de agosto de 2016.
- Turner, Dawn M. «Is the NIST Digital Signature Standard DSS Legally Binding?». Cryptomathic. Consultado el 11 de agosto de 2016.
- Turner, Dawn M. «Major Standards and Compliance of Digital Signatures - A Worldwide Consideration». Cryptomathic. Consultado el 10 de agosto de 2016.