• Author / Uploaded
• Javier L Díaz G

• Categories
• Tecnología
• Informática
• Valores
• Business
• Informática y tecnología de la información

Citation preview

Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Aspectos legales y regulatorios Actividad No. 2: Estudio del marco legal y normativo para la implantación de firma electrónica cualificada Estudiante: Javier Leonardo Díaz García

Contenido 1.

ACTIVIDAD PROPUESTA .................................................................................................................... 2

2.

DESARROLLO................................................................................................................................... 2 2.1.

Aplicaciones y casos de uso ...................................................................................................... 2

2.2.

Marco normativo y legislación aplicable .................................................................................... 3

2.2.1.

Organización ...................................................................................................................... 3

2.2.2.

PSEC.................................................................................................................................. 3

2.3. 3.

Selección del PSEC .................................................................................................................. 4

WEBGRAFÍA .................................................................................................................................... 5

1.

ACTIVIDAD PROPUESTA

Una organización en España pretende implantar firma electrónica en diferentes procesos de negocio y flujos de trabajo. Después de valorar la implantación de un sistema de certificación propio (Infraestructura de Clave Pública / PKI) se ha optado por utilizar los servicios de un tercero de confianza (PSEC). Se pide: • • • •

Proponer aplicaciones y casos de uso posibles de la firma electrónica que justifican el proyecto. Identificar el marco legal y los requisitos legales a cumplir. Identificar la normativa aplicable tanto a la empresa como al PSEC justificando en dos líneas cada ley, estándar, norma, recomendación, etc. Identificar un PSEC para el proyecto y un dispositivo cualificado de creación de firma (QSCD) a adquirir para poder realizar firma cualificada.

Teniendo en cuenta que: • • • •

Se debe considerar la normativa tras la entrada en vigor del reglamento eIDAS. La firma electrónica en las relaciones con terceros debe ser jurídicamente equivalente a la manuscrita. Se deben contemplar los formatos de certificados digitales, formatos de firma y normativa/certificaciones de tarjetas inteligentes o tokens (QSCD). Contemplar también la normativa técnica de referencia para los servicios prestados por el PSEC incluyendo la validación y el sellado de tiempo (estampado cronológico).

El trabajo se debe entregar en formato PDF firmado electrónicamente con un certificado digital emitido por una CA / PSEC, preferentemente o, como alternativa, un ID creado en Adobe. Verificar que la firma es válida al abrir el documento (Panel de firma de Adobe reader). 2.

DESARROLLO

2.1. Aplicaciones y casos de uso Debido a las grandes ventajas que aporta la firma electrónica en las organizaciones y el desarrollo interno de sus procesos, se proponen los siguientes casos de uso y aplicaciones, para que su implementación sea justificada. Vamos a suponer que la empresa se dedica al desarrollo de aplicaciones web y móviles para sus clientes y tiene proyectos tanto en el sector público como en el sector privado: PROCESO

APLICACIÓN/CASO DE USO

Contabilidad

Facturación electrónica

Contabilidad

Digitalización certificada

Todos

Firma de correos electrónicos

DESCRIPCIÓN Aunque en España la totalidad de las empresas del sector privado aún no se encuentran obligadas a facturar electrónicamente, esta medida permite ahorrar en costos de papeleo, mensajería y demás recursos. Por ley se deben conservar las facturas por periodos de tiempo específicos según la normativa. Se puede ahorrar espacio al digitalizar estos documentos siempre y cuando se encuentren firmados electrónicamente de manera adecuada. Lo cual permite a la organización tener un sistema de comprobación de sus correos electrónicos, minimizando así la posibilidad de ser víctima de suplantación.

Contratación

Firma de contratos

I+D

Comprobación de servidor seguro

TI

Sellado electrónico de logs y evidencias electrónicas

I+D

Firma de código de programación

Talento Humano

Generación de certificados de empleados

Ya sea con clientes o proveedores, permite asegurar que los contratos no sean modificados de ninguna manera una vez sean firmados por ambas partes. Con el fin de generar un sistema de acceso remoto seguro a las aplicaciones de la organización. Que permite al proceso de TI asegurar que la información que se ha generado como evidencia para investigaciones o pruebas específicas, no sea alterada de ninguna manera. Permite asegurar la integridad, autenticidad y autoría para transmitir confianza y permitir la difusión por Internet con seguridad de que no se verá alterada. Permite que el empleado esté seguro de los certificados de vida laboral que genera la organización, además una vez generado este no puede ser modificado con fines personales del empleado.

2.2. Marco normativo y legislación aplicable 2.2.1.

Organización

ID

NORMA

DESCRIPCIÓN

1

Reglamento (UE) N° 910/2014

Define los requisitos que debe cumplir una firma electrónica avanzada.

2

Real Decreto 1619/2012

Establece las normas que deben cumplir obligatoriamente las facturas, tanto en papel como electrónicas.

Requerimientos para generación de facturas.

3

Ley 34/2002 de la sociedad de servicios de la información

Régimen jurídico de la sociedad de servicios de la información y de la contratación y de la contratación.

Es de utilidad para la organización, con el fin de verificar que su prestador de servicios de firmas electrónicas está cumpliendo la normativa.

4

Ley 25/2013 Ley 9/2017 Resolución de 24 de agosto de 2017

Define la obligatoriedad de uso de la factura electrónica para los subcontratistas y/o proveedores del Estado y su correcta aplicación.

Normativas que se tienen que cumplir en caso de tener contratos con entidades públicas.

Especifica la forma digital de representar documentos electrónicos.

Cumplir normativa internacional para brindar seguridad a proveedores, clientes y empleados con respecto a sus documentos firmados digitalmente.

DESCRIPCIÓN Define: • Tipos de firmas electrónicas • Clasificación de Prestadores de servicios electrónicos de confianza • Requisitos para los PSEC Normas para evaluación de la seguridad de los dispositivos cualificados de creación de firmas electrónicas.

JUSTIFICACIÓN Ya que buscamos un PSEC que brinde servicios de firma electrónica cualificados, es necesario que este cumpla con los requerimientos de esta normativa. Se debe tener en cuenta normativa con respecto elementos como tarjetas, tokens, etc.

5

2.2.2.

ISO 32000

JUSTIFICACIÓN Así la organización cumplirá con los estándares de la UE con respecto a firma electrónica.

PSEC

ID

NORMA

1

Reglamento (UE) N° 910/2014

2

Decisión de ejecución (UE) 2016/650

3

Normas técnicas ETSI

Estándares desarrollados con requisitos técnicos paras elementos y servicios relacionados con firma electrónica.

4

Ley de firma electrónica 59/2003

Obligaciones y responsabilidades de los PSEC

Deben ser tenidos en cuenta para poder aprobar las auditorías a las que será sometido. Verificar los elementos no derogados por el eiDAS y cumplirlos.

2.3. Selección del PSEC Debido a que la organización requiere de servicios cualificados de firma electrónica y teniendo en cuenta la normativa eiDAS, es necesario verificar que proveedores se encuentran registrados y evaluados por la SESTI como tal. Se encontró que el proveedor Lux Trust S.A. cumple con el registro de Prestador de Servicios Electrónicos Cualificados, además cuenta con representación en España y cumple con los estándares de firma electrónica para la UE. Debido a lo anterior, se propone como proveedor de estos servicios para la organización.

Además, el producto escogido es la “SmartCard” de este mismo Prestador:

Cómo se indica en el siguiente link, este cumple con las regulaciones relacionadas. 3.

WEBGRAFÍA -

https://www.mincotur.gob.es/Publicaciones/Publicacionesperiodicas/EconomiaIndustrial/RevistaEco nomiaIndustrial/338/08soriano338.pdf https://firmaelectronica.gob.es/Home/Ciudadanos.html https://avancedigital.gob.es/es-es/Servicios/FirmaElectronica/Paginas/Prestadores.aspx https://sede.minetur.gob.es/prestadores/tsl/tsl.pdf https://www.luxtrust.lu/en/page/201

Documento creado y firmado por:

Javier Leonardo Diaz García Por medio de Adobe Sign ID

Javier Leonard o Díaz García

Firmado digitalmente por Javier Leonardo Díaz García Fecha: 2019.06.05 18:46:46 -05'00'