La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son:
- Identificar al firmante de manera inequívoca
- Asegurar la integridad del documento firmado.
- Asegura que el documento firmado es exactamente el mismo que el original y que no ha sufrido alteración o manipulación
- Asegurar el no repudio del documento firmado.
Los datos que utiliza el firmante para realizar la firma son únicos y exclusivos y, por tanto, posteriormente, no puede decir que no ha firmado el documento
La base legal de la Firma electrónica está recogida en la Ley 59/2003 de Firma Electrónica y se desarrolla en más profundidad en la sección Base legal de las Firmas. La sección también explora, bajo qué circunstancias la ley equipara la firma electrónica a la firma manuscrita.
Ley 59/2003 de Firma Electrónica
La legislación básica sobre firma electrónica se recoge en la Ley 59/2003, de 19 de diciembre, de Firma Electrónica.Art. 3.1) La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
Además, la Ley distingue entre dos tipos de firma, la ‘firma electrónica avanzada’ y la ‘firma electrónica reconocida’:
Art. 3.2) La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
(Art. 3.3) Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
Según la ley, la firma electrónica reconocida es la única que puede ser considerada equivalente a la firma manuscrita:
(Art. 3.4) La firma electrónica reconocida tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.
LEY DE COMERCIO ELECTRÓNICO, FIRMAS ELECTRÓNICAS Y MENSAJES DE DATOS ECUADOR
Título Preliminar
Art. 1.- Objeto de la Ley.- Esta Ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas.
Capítulo I
DE LAS FIRMAS ELECTRÓNICAS
Art. 13.- Firma electrónica.- Son los datos en forma electrónica consignados en un mensaje de datos, adjuntados o lógicamente asociados al mismo, y que puedan ser utilizados para identificar al titular de la firma en relación con el mensaje de datos, e indicar que el titular de la firma aprueba y reconoce la información contenida en el mensaje de datos. Art. 14.- Efectos de la firma electrónica.- La firma electrónica tendrá igual validez y se le reconocerán los mismos efectos jurídicos que a una firma manuscrita en relación con los datos consignados en documentos escritos, y será admitida como prueba en juicio. Art. 15.- Requisitos de la firma electrónica.- Para su validez, la firma electrónica reunirá los siguientes requisitos, sin perjuicio de los que puedan establecerse por acuerdo entre las partes:
a) Ser individual y estar vinculada exclusivamente a su titular;
b) Que permita verificar inequívocamente la autoría e identidad del signatario, mediante dispositivos técnicos de comprobación establecidos por esta Ley y sus reglamentos;
c) Que su método de creación y verificación sea confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o comunicado.
d) Que al momento de creación de la firma electrónica, los datos con los que se creare se hallen bajo control exclusivo del signatario; y,
e) Que la firma sea controlada por la persona a quien pertenece.
Capítulo II
DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA
Art. 20.- Certificado de firma electrónica.- Es el mensaje de datos que certifica la vinculación de una firma electrónica con una persona determinada, a través de un proceso de comprobación que confirma su identidad.
Art. 21.- Uso del certificado de firma electrónica.- El certificado de firma electrónica se empleará para certificar la identidad del titular de una firma electrónica y para otros usos, de acuerdo a esta Ley y su reglamento.
Art. 22.- Requisitos del certificado de firma electrónica.- El certificado de firma electrónica para ser considerado válido contendrá los siguientes requisitos:
a) Identificación de la entidad de certificación de información;
b) Domicilio legal de la entidad de certificación de información;
c) Los datos del titular del certificado que permitan su ubicación e identificación;
d) El método de verificación de la firma del titular del certificado;
e) Las fechas de emisión y expiración del certificado;
f) El número único de serie que identifica el certificado;
g) La firma electrónica de la entidad de certificación de información;
h) Las limitaciones o restricciones para los usos del certificado;e,
i) Los demás señalados en esta ley y los reglamentos.
El Certificado Electrónico, base de la firma electrónica
Para firmar un documento es necesario disponer de un certificado digital o de un DNI electrónico.El certificado electrónico o el DNI electrónico contiene unas claves criptográficas que son los elementos necesarios para firmar. Los certificados electrónicos tienen el objetivo de identificar inequívocamente a su poseedor y son emitidos por Proveedores de Servicios de Certificación.
Un Certificado Electrónico…
Es un documento electrónico expedido por una Autoridad de Certificación e identifica a una persona (física o jurídica) con un par de claves.
-Tiene como misión validar y certificar que una firma electrónica se corresponde con una persona o entidad concreta.
-Contiene la información necesaria para firmar electrónicamente e identificar a su propietario con sus datos: nombre, NIF, algoritmo y claves de firma, fecha de expiración y organismo que lo expide.
-La Autoridad de Certificación da fe de que la firma electrónica se corresponde con un usuario concreto. Esa es la razón por la que los certificados están firmados, a su vez, por la Autoridad de Certificación.
LEY DE COMERCIO ECUADOR:
Capítulo III
DE LAS ENTIDADES DE CERTIFICACIÓN DE INFORMACIÓN
Art. 29.- Entidades de certificación de información.- Son las empresas unipersonales o personas jurídicas que emiten certificados de firma electrónica y pueden prestar otros servicios relacionados con la firma electrónica, autorizadas por el Consejo Nacional de Telecomunicaciones, según lo dispuesto en esta ley y el reglamento que deberá expedir el Presidente de la República.
Art. 30.- Obligaciones de las entidades de certificación de información acreditadas.- Son obligaciones de las entidades de certificación de información acreditadas:
a) Encontrarse legalmente constituidas, y estar registradas en el Consejo Nacional de Telecomunicaciones;
b) Demostrar solvencia técnica, logística y financiera para prestar servicios a sus usuarios;
c) Garantizar la prestación permanente, inmediata, confidencial, oportuna y segura del servicio de certificación de información;
d) Mantener sistemas de respaldo de la información relativa a los certificados;
e) Proceder de forma inmediata a la suspensión o revocatoria de certificados electrónicos previo mandato de la Superintendencia de Telecomunicaciones, en los casos que se especifiquen en esta ley;
f) Mantener una publicación del estado de los certificados electrónicos emitidos;
g) Proporcionar a los titulares de certificados de firmas electrónicas un medio efectivo y rápido para dar aviso que una firma electrónica tiene riesgo de uso indebido;
h) Contar con una garantía de responsabilidad para cubrir daños y prejuicios que se ocasionaren por el incumplimiento de las obligaciones previstas en la presente ley, y hasta por culpa leve en el desempeño de sus obligaciones. Cuando certifiquen límites sobre responsabilidades o valores económicos, esta garantía será al menos del 5% del monto total de las operaciones que garanticen sus certificados;
ENTIDADES CERTIFICADORAS:
Banco central del Ecuador
Es la Entidad de Certificación de Información acreditada por el Consejo Nacional de Telecomunicaciones.
Emite certificados digitales de firma electrónica y otros servicios relacionados con la certificación electrónica para el Sector Público, Personas Jurídicas y Personas Naturales; garantizando la seguridad jurídica y tecnológica en entornos electrónicos.
Los certificados de firma electrónica que ofrece son:
TOKEN (Es un dispositivo criptográfico USB, donde se almacena su certificado digital de forma segura) - vigencia 2 años
HSM (Hardware Security Module, es un dispositivo criptográfico ideal para altos volúmenes de transacciones, ejemplo: facturación electrónica) - vigencia 3 años
ROAMING (Certificado almacenado de forma segura en servidores de la ECIBCE, que le permite realizar operaciones mediante el uso del applet publicado por la ECIBCE- ROAMING o un aplicativo opcional llamado ESP) - vigencia 2 años
Security Data
Security Data Seguridad en Datos y Firma Digital S.A es una Entidad Certificadora de firma electrónica y servicios relacionados autorizada por el CONATEL según la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.Los servicios de Certificación de Información y Servicios Relacionados ofrecidos por Security Data Seguridad en Datos y Firma Digital están orientados a Corporaciones Públicas y Privadas y su objetivo es acreditar la identidad digital de las corporaciones y las personas naturales que actúan a través de la red.
TIPOS DE CERTIFICADOS:
Certificados Persona Natural: Certificados reconocidos de persona física que identifican al suscriptor como una persona natural que puede usar estos certificados para temas tributarios, legales y personales.
Certificados Corporativos de Persona Jurídica - Empresa: Certificados reconocidos de persona jurídica que identifican al suscriptor como Empresa Privada.
Certificado de Funcionario Público: Son certificados reconocidos de persona física que identifican al suscriptor como Administración Pública y al firmante como empleado de la Administración.
Certificados de Servidor Seguro (SSL): Son certificados que relacionan un dominio de Internet con una persona jurídica o un comerciante registrado determinado.
Certificados Corporativos de Representante Legal: Son certificados reconocidos de persona física que identifican al suscriptor como una corporación y al firmante como representante legal de dicha corporación.
Certificados Corporativos de Miembro de Empresa: Son certificados reconocidos de persona física que identifican al suscriptor como Corporación y al firmante como vinculado a esa corporación, ya sea como empleado, asociado, colaborador, cliente o proveedor.
Ecuapass
Para Agentes de Aduana o importadores/exportadores, es obligatorio ingresar su número de RUC en el formulario de solicitud.
Persona Jurídica
Conocer el número de RUC de la empresa
Copia de Cédula o pasaporte a Color
Copia de Papeleta de votación actualizada, (exceptuando a personas mayores a sesenta y cinco años, las ecuatorianas y ecuatorianos que habitan en el exterior, los integrantes de las Fuerzas Armadas y Policía Nacional, y las personas con discapacidad)
Copia del nombramiento o certificado laboral firmado por el Representante Legal
Autorización firmada por el Representante Legal.
Funcionario Público
Conocer el número de RUC de la institución
Copia de Cédula o pasaporte a Color
Copia de Papeleta de votación actualizada, (exceptuando a personas mayores a sesenta y cinco años, las ecuatorianas y ecuatorianos que habitan en el exterior, los integrantes de las Fuerzas Armadas y Policía Nacional, y las personas con discapacidad)
Copia del nombramiento o acción de personal o certificado de recursos humanos
Autorización firmada por el Representante Legal.
En un Certificado, las claves digitales son los elementos esenciales para la firma e identificación del firmante. Existen dos claves, la clave privada y clave pública, y trabajan de forma complementaria. Lo que cifra o codifica una clave sólo lo puede descifrar o decodificar la otra.
La diferencia entre ellas es que la clave privada está pensada para que nunca salga del certificado y esté siempre bajo el control del firmante. En cambio, la clave pública se puede repartir o enviar a otros usuarios.
En ocasiones, se habla de Certificado Privado para referirse al certificado que contiene la clave privada y la pública y del Certificado Público para referirse al certificado que sólo contiene la clave pública.
Importante: Si envías tu certificado a un tercero, asegúrate de que es el certificado público (que contiene sólo la clave pública).
Obtención del Certificado
Obtener el Certificado Digital depende de si el certificado está contenido en una tarjeta, como el DNIe, o de si el certificado se guarda en un fichero software.
En ambos procesos hay un paso que es la identificación del responsable o usuario del certificado, lo cual requiere que éste se persone en las oficinas de una Autoridad de Registro. Estas oficinas corroboran la identidad.
En el caso de los certificados software, el propio navegador del usuario crea las claves. Pero, en el Certificado de tarjeta, quien crea e introduce las claves es el Proveedor de Certificación.
Obtención de Certificado en tarjeta (DNIe)
Los certificados contenidos en tarjetas deben ser entregados directamente al usuario.
En el caso concreto del DNIe, hay que personarse en las oficinas de la Dirección General de Policía, que es la Autoridad Certificadora. En la sección del DNI Electrónico puedes ver los pasos concretos para su obtención.
Solicitud de certificado software.
La solicitud y descarga del Certificado se realizan desde el navegador.
Renovación del Certificado
Los Certificados electrónicos tienen un periodo de validez pasado el cual no sirven para firmar ni tampoco para identificarse.
Cada Proveedor de Certificación establece unos plazos antes de que el certificado caduque para poder renovarlo sin necesidad de otra identificación. En el caso de los certificados de la FNMT, tienen una validez de 36 meses y se puede renovar durante los 2 meses anteriores a su caducidad.
Los Certificados incluidos en la tarjeta de DNIe tienen una validez de 30 meses (aunque la tarjeta del DNIe puede tener una validez de hasta 10 años dependiendo de la edad de la persona).
Si el Certificado caduca hay que volver a realizar todo el proceso de solicitud del certificado. Sin embargo, un certificado se puede renovar antes de que caduque y el proceso no requiere una solicitud nueva.
Revocación de un Certificado
Puedes invalidar tu Certificado antes de que caduque por razones de seguridad.
Estas son las principales causas de revocación de un Certificado:
-Solicitud voluntaria del Suscriptor.
-Pérdida o daños en el soporte del Certificado.
-Fallecimiento del suscriptor o de su representado, incapacidad sobrevenida, total o parcial, de cualquiera de ellos.
-Finalización de la representación o extinción de la entidad representada.
-Inexactitudes en los datos aportados por el suscriptor para la obtención del certificado.
-Que se detecte que las claves del Suscriptor o de la Autoridad de Certificación han sido comprometidas.
-Una vez revocado, el certificado ya no puede ser reactivado y es necesario volver a iniciar todo el proceso de solicitud.
-Para revocar los Certificados, deberá ser la propia Autoridad de Certificación la que proporcione el procedimiento, que normalmente está publicado en su página web.
Por ejemplo, la revocación de un certificado emitido por la Fábrica Nacional de Moneda y Timbre (FNMT) puede realizarse de tres formas:
A través de Internet: si el titular del certificado o su representante, en caso de entidades, están en posesión del mismo.
En la Oficina de Acreditación: si el titular del certificado o representante no disponen del mismo por extravío, pérdida o robo, deberá personarse en una de estas Oficinas de Acreditación para, una vez identificado, firmar el modelo de solicitud de revocación del certificado. Las Oficinas de Acreditación transmiten diariamente los registros tramitados a la FNMT para que ésta proceda a la revocación del certificado.
Política de Firma
Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo firmado, dentro de la firma, que específica una política explícita o implícita.
Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o verificada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado).
La finalidad de una política de firma es reforzar la confianza en las transacciones electrónicas a través de una serie de condiciones para un contexto dado, el cual puede ser una transacción determinada, un régimen legal o un rol que asuma la parte firmante.
Por ejemplo, la Política de Firma de la Administración General del Estado (AGE) especifica las condiciones generales aplicables a la firma electrónica para su validación, en la relación electrónica de la Administración General del Estado con los ciudadanos y entre los órganos y entidades de la AGE.
Según el artículo 24 del Real Decreto 1671/2009 por el que se desarrolla parcialmente la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, la política de firma electrónica y certificados en el ámbito de la Administración General del Estado y de sus organismos públicos, está constitu&icaute;da por las directrices y normas técnicas aplicables a la utilización de certificados y firma electrónica dentro de su ámbito de aplicación.
Esquema Nacional de Interoperabilidad (ENI)
La política de firma tiene una misión importante ya que define las reglas y obligaciones de todos los actores involucrados en el proceso de firma en determinados contextos (contractual, jurídico, legal,…).
El Real Decreto 4/2010 por el que se regula el Esquema Nacional de Interoperabilidad establece que la política de firma electrónica y de certificados de la Administración General del Estado, servirá de marco general de interoperabilidad para la autenticación y el reconocimiento mutuo de firmas electrónicas dentro de su ámbito de actuación. También establece que dicha política podrá ser utilizada como referencia por otras Administraciones Públicas para definir las políticas de certificados y firmas a reconocer dentro de sus ámbitos competenciales.
Esquema Nacional de Seguridad (ENS)
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene por objeto el establecimiento de los principios y requisitos de una política de seguridad protección de la información.
Pues bien, el decreto, en su artículo 33 también relega a la Política de Firma toda la función de concretar los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas.
Por otra parte, el RD en su anexo II punto 5.7.4 es muy específico sobre los tipos de firma que deben aplicarse en función del nivel de la información que debe protegerse.
- Nivel BAJO
Se puede emplear cualquier medio de firma electrónica de los previstos en la legislación vigente.
- Nivel MEDIO
Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:
Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.
Se emplearán, preferentemente, certificados reconocidos.
Se emplearán dispositivos seguros de firma.
Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:
Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación.
Se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.
El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b).
La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes a) y b).
- Nivel ALTO
Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en el nivel Medio, además de las siguientes:
Se usarán certificados reconocidos.
Se usarán dispositivos seguros de creación de firma.
Se emplearán, preferentemente, productos certificados [op.pl.5].
La norma CCN-STIC-807 del Centro Criptológico Nacional establece en el punto 5.7 cuáles son los mecanismos y algoritmos que se pueden utilizar para firmar en función del nivel de la información.
El Proceso Básico de Firma Electrónica
El proceso básico que se sigue para la firma electrónica es el siguiente:
1.El usuario dispone de un documento electrónico (una hoja de cálculo, un pdf, una imagen, incluso un formulario en una página web) y de un certificado que le pertenece y le identifica.
2.La aplicación o dispositivo digital utilizados para la firma realiza un resumen del documento. El resumen de un documento de gran tamaño puede llegar a ser tan solo de unas líneas. Este resumen es único y cualquier modificación del documento implica también una modificación del resumen.
3.La aplicación utiliza la clave privada para codificar el resumen.
4.La aplicación crea otro documento electrónico que contiene ese resumen codificado. Este nuevo documento es la firma electrónica.
5.El resultado de todo este proceso es un documento electrónico obtenido a partir del documento original y de las claves del firmante.
La firma electrónica, por tanto, es el mismo documento electrónico resultante.
No hay comentarios:
Publicar un comentario