eIDAS
El sistema europeo de reconocimiento de identidades electrónicas (conocido por sus siglas en inglés eIDAS, electronic IDentification, Authentication and trust Services) es un Reglamento de la Unión Europea (UE) sobre / un conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo. Se estableció en el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.[1][2]
Reglamento (UE) 910/2014 | ||
---|---|---|
Reglamento de la Unión Europea | ||
Título | Reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE | |
Hecho por | Parlamento Europeo y Consejo de la Unión Europea | |
Fecha de aprobación | 23 de julio de 2014 | |
Legislación vigente | ||
Aspectos regulados en transacciones electrónicas
El Reglamento proporciona el entorno regulatorio para los siguientes aspectos importantes relacionados con las transacciones electrónicas:[1]
- Firma electrónica avanzada: una firma electrónica se considera avanzada si cumple con ciertos requisitos:
- Proporciona información de identificación única que la vincula a su firmante.
- El firmante tiene el control exclusivo de los datos utilizados para crear la firma electrónica.
- Debe ser capaz de identificar si los datos que acompañan el mensaje han sido manipulados después de haber sido firmados. Si los datos firmados han cambiado, la firma se marca como no válida.
- Hay un certificado de firma electrónica, prueba electrónica que confirma la identidad del firmante y vincula los datos de validación de la firma electrónica a esa persona.
- Las firmas electrónicas avanzadas pueden implementarse técnicamente, siguiendo los estándares para firmas digitales XAdES, PAdES, CAdES o ASiC Baseline Profile, especificados por ETSI.[3]
- Firma electrónica cualificada, una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.
- Certificado cualificado de firma electrónica, un certificado que acredite la autenticidad de una firma electrónica cualificada que ha sido emitida por un prestador cualificado de servicios de confianza.
- Servicio de confianza, un servicio electrónico que crea, valida y verifica firmas electrónicas, sellos de tiempo, sellos y certificados. Además, un servicio de confianza puede proporcionar la autenticación del sitio web y la conservación de las firmas electrónicas, los certificados y los sellos creados. Es manejado por un prestador de servicios de confianza.
Evolución e implicaciones legales
El Reglamento eIDAS surgió a partir de la Directiva 1999/93/CE, que establecía el objetivo que debían alcanzar los Estados miembros de la UE en materia de firma electrónica. Los Estados más pequeños fueron de los primeros en empezar a adoptar la firma y la identificación digitales; por ejemplo, la primera firma digital estonia se realizó en 2002 y la primera letona en 2006. Su experiencia ha servido para desarrollar una normativa, ahora de ámbito comunitario, que se convirtió en ley vinculante en toda la UE desde el 1 de julio de 2016.[4] La directiva responsabilizaba a los estados miembros de la UE de crear leyes que les permitieran cumplir el objetivo de crear un sistema de firma electrónica en la UE. La directiva también permitía que cada estado miembro interpretara la ley e impusiera restricciones, impidiendo así la interoperabilidad real, y conduciendo hacia un escenario fragmentado.[5] En contraste con esta directiva, el eIDAS asegura el reconocimiento mutuo del eID para la autenticación entre los Estados miembros,[6] logrando así el objetivo del Mercado Único Digital.
El eIDAS ofrece un enfoque escalonado del valor legal. Exige que a ninguna firma electrónica se le nieguen los efectos jurídicos o la admisibilidad en los tribunales por el mero hecho de no ser una firma electrónica avanzada o cualificada.[7] A las firmas electrónicas cualificadas se les debe dar el mismo efecto jurídico que a las firmas manuscritas.[8]
En el caso de los sellos electrónicos (versión de las firmas de las personas jurídicas), se aborda explícitamente el valor probatorio, ya que los sellos deben gozar de la presunción de integridad y de la corrección del origen de los datos adjuntos.[9]
Número de identidad
La información de la base de datos tiene que estar vinculada a algún tipo de número de identidad. Certificar que una persona tiene derecho a acceder a cierta información personal implica varios pasos.
Conectar a una persona con un número, lo que puede hacerse mediante métodos desarrollados en un país, como los certificados digitales.
Conectar un número a una información específica, lo que se hace en bases de datos.
Para el eIDAS es necesario conectar el número utilizado por un país que tiene información, con el número utilizado por el país que emite los certificados digitales.
El eIDAS tiene como concepto mínimo de identidad, el nombre y la fecha de nacimiento. Pero para acceder a información más sensible, se necesita algún tipo de certificación de que los números de identidad emitidos por dos países se refieren a la misma persona.[10]
EUTL
EUTL (European Union Trusted Lists) es una lista pública con más de 200 proveedores de servicios de confianza (TSP), activos o previos, específicamente acreditados para ofrecer los más altos niveles de conformidad con el reglamento de firma electrónica eIDAS de la Unión Europea. Estos proveedores ofrecen ID digitales basados en certificados para individuos, sellos digitales para empresas y servicios de marca de hora que pueden usarse para crear firmas electrónicas reconocidas (QES, de Qualified Electronic Signatures) basados en tecnología de firma digital. En eIDAS únicamente las firmas reconocidas son legal y automáticamente equivalentes a las firmas manuscritas. Y son los únicos tipos de firmas automáticamente reconocidos en transacciones internacionales entre estados miembros de la UE. Cada estado miembro de la UE supervisa a los proveedores del propio país, pero una vez aprobado un TSP en un país, sus servicios se pueden vender en otros países de la UE con el mismo nivel de conformidad. .[11]
Vulnerabilidades
En octubre de 2019, investigadores de seguridad descubrieron dos fallos de seguridad.[12] Ambas vulnerabilidades fueron corregidas para la versión 2.3.1 de eIDAS-Node,[12] el paquete de software oficial que se ejecuta en servidores públicos y privados.[13]
Véase también
Referencias
- Parlamento Europeo y Consejo de la Unión Europea (ed.). «Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE». EUR-Lex (en inglés). Consultado el 28 de junio de 2018.
- Turner, Dawn. Cryptomathic, ed. «Understanding eIDAS» (en inglés). Consultado el 28 de junio de 2018.
- Turner, Dawn. Cryptomathic, ed. «The Difference Between an Electronic Signature and a Digital Signature» (en inglés). Consultado el 7 de enero de 2019.
- «Regulations, Directives and other acts». Europa.eu (en inglés). The European Union. Archivado desde el original el 12 de diciembre de 2013. Consultado el 18 de marzo de 2016.
- «Understanding eIDAS – All you ever wanted to know about the new EU Electronic Signature Regulation». Legal Technology (en inglés). Archivado desde el original el 17 de enero de 2018. Consultado el 1 de marzo de 2016.
- «A Big Step Toward the European Digital Single Market» (en inglés). Inside Magazine. Archivado desde el original el 27 de marzo de 2019. Consultado el 27 de marzo de 2019.
- Articles 25 (1) and definitions in article 3 (10) to 3 (12)
- Article 25 (2)
- Article 35 (2)
- Hur skapar du en koppling mellan svenska och utländska eID:n? Archivado el 6 de octubre de 2018 en Wayback Machine. (in Swedish. Title translation: How to connect Swedish and foreign eID?)
- https://helpx.adobe.com/document-cloud/kb/european-union-trust-lists.html
- Cimpanu, Catalin (29 de octubre de 2019). «Major vulnerability patched in the EU's eIDAS authentication system» (html). ZDNet (en inglés). Archivado desde el original el 29 de octubre de 2019. Consultado el 28 de octubre de 2019. «Vulnerability would have allowed attackers to pose as any EU citizen or business. »
- «eIDAS-Node integration package» (html). Comisión Europea (en inglés). Archivado desde el original el 10 de junio de 2019. Consultado el 28 de octubre de 2019. «The eIDAS-Node software contains the necessary modules to help Member States to communicate with other eIDAS-compliant counterparts in a centralised or distributed fashion. »
Enlaces externos
- Esta obra contiene una traducción parcial (sección «Vulnerabilidades») derivada de «EIDAS» de Wikipedia en inglés, concretamente de esta versión del 29 de octubre de 2019, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.