|
Última actualización: 17 de Febrero
de 2003
ENTIDADES DE CERTIFICACIÓN Y REGISTRO
La información ha sido calificada como un auténtico poder de las
sociedades avanzadas, pero con el desarrollo de la telemática su
valor ha crecido de forma considerable.
Es en este canal donde más vulnerable se encuentra la información,
ya que se halla expuesta a numerosas amenazas derivadas de ataques,
intromisiones de terceros, suplantaciones, etc.
Ello hace necesario dotar a este canal de comunicación, a través
del cual se transmiten millones de bits de información diarios,
de unos servicios de seguridad fiables que garanticen la integridad,
autenticidad, confidencialidad y no repudio de la información.
Estas garantías se podrán asegurar mediante el empleo de certificados.
Los proveedores de estos servicios van a ser las Entidades de Certificación
(CA`s) las cuales emiten certificados o prestan otros servicios
relativos a las firmas electrónicas, tales servicios pueden ser
inherentes al propio certificado (revocación, suspensión en el caso
de pérdida de la clave privada u otro elemento de firma), así como
otros complementarios, necesarios para el sistema de certificados
(generación de claves, almacenamiento, servicio de sellado temporal...).
Cada certificado contiene una clave pública e información que identifica
al sujeto del certificado, éste irá firmado digitalmente por la
Entidad de Certificación, usando la clave privada de firma de la
misma. De esta forma se constata y garantiza la autenticidad del
certificado así como la información contenida en el mismo.
El certificado permite asegurar la veracidad de la clave pública
perteneciente al propietario del certificado, vinculando unos datos
de verificación de firma a un firmante y confirmando su identidad.
ENTIDADES DE CERTIFICACIÓN
Las Entidades de Certificación pueden ser entidades públicas o
privadas, incluso personas físicas o jurídicas. No están sujetas
a autorización previa y su actividad se desarrollará bajo un régimen
de libre competencia cuando presten sus servicios en el Estado español.
Sin embargo, la ley determina que consten inscritos a efectos de
publicidad, en el Registro de Prestadores de Servicios de Certificación
(PSC) de acceso público del Mº de Justicia, creado al efecto.
Para aquellos PSC que emitan certificados reconocidos se establecen
ciertos requisitos para su constitución. Sólo los prestadores acogidos
a "sistemas voluntarios de acreditación" regulados por la Administración,
pueden emitir certificados reconocidos. La emisión de este tipo
de certificados requiere que se den unas garantías formales y técnicas
dispuestas por ley, así como un control de identidades, cumplimiento
de obligaciones y sanciones aplicables por infracciones.
La Ley (RDL 14/1999 sobre firma electrónica y el Borrador de Anteproyecto
de Ley de Firma Electrónica) describen los requisitos y obligaciones
que ha de cumplir un prestador de servicios de Certificación establecido
en España que preste sus servicios en el Estado español, así como
a los prestadores residentes o domiciliados en otro Estado que ofrezcan
sus servicios a través de un establecimiento permanente situado
en España. A tales efectos se presume que el Prestador está establecido
en España cuando se halle inscrito en el Registro Mercantil o en
otro Registro Público necesario para la adquisición de personalidad
jurídica.
Obligaciones de los PSCs que emitan certificados reconocidos.
Garantía de fiabilidad
· Mediante la utilización de sistemas seguros y de confianza
para prestar servicios de certificación.
· Rapidez y seguridad en la prestación del servicio, asegurando
la extinción y suspensión de la eficacia de los certificados de
forma segura.
· Utilización de sistemas y productos fiables que estén protegidos
contra toda alteración, garantizando una seguridad técnica y criptográfica
de los procesos de certificación y almacenamiento de certificados.
· Adopción de medidas contra la falsificación de certificados
y asegurar la confidencialidad durante los procesos de generación
y entrega del certificado.
Registro de documentos
· Disponibilidad de una lista (CRL) actualizada de los certificados
en la que figuren aquellos que hayan sido emitidos, junto a las
causas hayan motivado la suspensión o pérdida de vigencia de un
certificado, debiendo de informar de este hecho al firmante, indicando
la fecha y hora en que el certificado deja de tener vigencia.
· Conservar registrada de forma segura toda la información y
documentación relativa a cada solicitud de certificado y a cada
certificado emitido, junto a las Prácticas de Certificación, que
rigen las normas y condiciones generales de los servicios de certificación
prestados por los PSC, vigentes en cada momento. Al menos durante
15 años contados desde el momento de su emisión, a efectos de
aportación de pruebas en ámbito de una reclamación o procedimiento
judicial.
Requisitos financieros
Suficientes para ser capaces de afrontar el riesgo de ser considerado
responsable de errores, eventuales daños o negligencia como consecuencia
de cualquier acción u omisión de la Entidad de Certificación.
La garantía a constituir podrá consistir en un afianzamiento mercantil
prestado por una entidad de crédito o un seguro de caución por
importe al menos 3.000.000€. En sustitución de las garantías anteriores,
podrá contratar un seguro de responsabilidad civil por igual importe.
Una adecuada capacidad financiera de una Entidad de Certificación
puede ser uno de los factores que induzcan a sus suscriptores
y terceros a solicitar y confiar en sus servicios.
Auditoria de seguridad
Al objeto de poder garantizar los requisitos de fiabilidad de los
Prestadores de servicios de certificación (PSC) que fija la ley
es preciso que se sometan a auditorias de seguridad, dado que como
consecuencia de los avances en el uso de las tecnologías de la información
y las comunicaciones, cabe en muchas ocasiones que los sistemas
de almacenamiento de datos e información de los PSC se vean afectados
por el impacto de fallos, accesos no autorizados, sabotajes, revelación
de información, etc. De ahí la necesidad de adoptar medidas de protección
adecuadas, que se evaluarán y recomendarán en una auditoria de seguridad
(controles directivos, preventivos, correctivos, de recuperación,
etc.)
ENTIDADES DE REGISTRO
Su finalidad es servir de ayuda en la prestación de servicios de
la Entidad de Certificación. Para que la misma pueda comenzar su
actividad, se precisa de una homologación por parte de la Entidad
de Certificación a las Entidades de Registro (RA`s). Estas Entidades
deberán cumplir unos requisitos particulares y generales fijados
por aquellas.
Podemos hacer una clasificación de las Entidades de Registro de
acuerdo a las funcionalidades de las mismas.
a) Entidades de Registro colaboradoras, su finalidad es servir
de ayuda en la prestación de servicios de la Entidad de Certificación.
De esta manera a través de intermediarios distribuidos, se produce
un contacto directo con los solicitantes del certificado.
Estas Entidades una vez han sido homologadas por una CA, cumpliendo
los requisitos establecidos en el contrato, van a firmar un contrato
donde se especifiquen las condiciones de distribución de los certificados.
A su vez las Entidades de Registro tienen unas normas de funcionamiento
propias (RPS-Prácticas de Registro), las mismas deberán ser aprobadas
previamente por la CA. No obstante, si la Entidad de Registro
no tiene su propia RPS, ésta podrá ser redactada por la propia
Entidad de Certificación o en caso de que esto no suceda se regirán
por las Prácticas de Certificación (CPS) de la Entidad de Certificación.
Los principales servicios proporcionados por estas Entidades
de Registro son:
· Registro, con la correspondiente recogida de datos de los
suscriptores.
· Identificación y autentificación de los suscriptores. La
identificación de los solicitantes de certificados reconocidos
de personas físicas, exigirá su personación ante los encargados
de verificarla y se acreditará mediante DNI, pasaporte u otros
medios reconocidos en Derecho. Cuando sea una persona jurídica
quien solicite un certificado, se precisará comprobar los documentos
que acrediten la constitución de dichas personas jurídicas y
la identidad y los poderes de representación de las personas
físicas que soliciten el certificado.
· Evalúan, aprueban o rechazan solicitudes de emisión de certificados.
· Aceptación y autorización de las peticiones de suspensión
o revocación de certificados efectuadas por la Entidad de Certificación.
b) Entidades corporativas, las cuales solicitan un número de
certificados a la propia Entidad de Certificación, para que puedan
ser utilizados dentro de su ámbito interno y con sus clientes.
Estas Entidades corporativas también deberán ser homologadas por
la propia CA, la cuál emitirá un informe favorable o no de la
misma en función del cumplimiento de los requisitos establecidos.
No obstante el suministro de estos certificados entre los clientes
y la Entidad deberá estar regulado para evitar un uso ilegítimo
de los mismos.
c) Entidades distribuidoras, son empresas colaboradoras con la
Entidad de Certificación. Ej, Microsoft fabrica tarjetas inteligentes
que constituyen el soporte físico de los certificados que emite
la CA.
Tanto las Entidades de Certificación como las Entidades de Registro
deberán tener un seguro de responsabilidad ante posibles negligencias.
Que en el caso de la CA responderá frente a posibles errores técnicos
en la emisión de certificados, mientras que la Entidad de Registro
deberá responder de la custodia y captación de los datos de los
clientes.
Respecto de estos datos estas sociedades deberán tener la debida
diligencia en la custodia de los mismos, ya que estamos ante datos
personales que requieren una especial protección en la normativa
europea y española. Cabe también añadir que las CA`s podrán actuar
como Entidad de Registro, cumpliendo siempre los requisitos establecidos
para las mismas.
Leire Sainz de la Maza
Licenciada en Derecho - Especialista en Nuevas Tecnologías
leire.sainz@ozu.es
|
