Formatos y reglas de firma electrónica

;

Estás buscando un software de gestión?

Smart Vet es el programa de gestión veterinaria para usted. Pruébelo gratis durante 30 días sin ningún tipo de compromiso.

Tags

Formatos y reglas de firma electrónica

by admin Blogger

Publicado el 04/09/2015

\r\n

La Norma Técnica de Interoperabilidad (NTI) de Política de firma electrónica y de certificados de la Administración es la responsable de establecer el conjunto de criterios comunes asumidos por la Administración pública en relación con la autenticación y el reconocimiento de firmas electrónicas.

\r\n

Las políticas de firma electrónica podrán definir condiciones para la aplicación de una firma electrónica basada en los siguientes propósitos:

\r\n
    \r\n
  1. Firma de transmisiones de datos, como herramienta para proporcionar seguridad al intercambio, garantizando la autenticación de los actores involucrados en el proceso, la integridad del contenido del mensaje de datos enviado y el no repudio de los mensajes en una comunicación telemática.
  2. \r\n
  3. Firma de contenido como herramienta para garantizar la autenticidad, integridad y no repudio de aquel, con independencia de que forme parte de una transmisión de datos.\r\n

    La NTI identifica cuatro actores que deben estar involucrados en el proceso de creación y validación de una firma electrónica:

    \r\n
      \r\n
    • Firmante: la persona que posee el dispositivo de creación de firma y que actúa en su nombre o en nombre de una persona física o jurídica a la que representa.
    • \r\n
    • Verificador: entidad que valida o verifica la firma electrónica según las condiciones exigidas por la política de firma concreta por la que se rige la plataforma de relación electrónica o el servicio concreto al que se esté invocando. Podrá ser una entidad de validación de confianza o una tercera parte que esté interesada en la validez de una firma electrónica.
    • \r\n
    • Prestador de servicios de certificación (PSC): Persona física o jurídica que expide certificados electrónicos o presta otros servicios relacionados con la firma electrónica.
    • \r\n
    • Emisor y gestor de la política de firma: entidad encargada de generar y gestionar el documento de política de firma, por el cual se deben regir el firmante, el verificador y los prestadores de servicios en los procesos de generación y validación de firma electrónica.
    • \r\n
    \r\n
  4. \r\n
\r\n

En toda política de firma electrónica se asegurará que:

\r\n

a) Las extensiones o restricciones establecidas para las reglas de creación o validación de firma atienden a la validación de los formatos de firma establecidos en esta NTI y política marco si procede, de forma que se garantice la interoperabilidad entre las diferentes organizaciones.

\r\n

b) Incluye, si procede, la referencia a la URL de la política marco de firma electrónica en la que se inscribe, con indicación expresa de la versión.

\r\n

c) Las firmas que se generen siguiendo políticas marco o particulares, incluyen un campo donde se indique de forma explícita la política a la que pertenecen.

\r\n

d) Para que otras aplicaciones puedan interpretar las reglas de una política particular correctamente, dicha política está disponible en formato XML (eXtensible Markup Language) y ASN.1 (Abstract Syntax Notation One).

\r\n

La protección de la firma electrónica frente a la posible obsolescencia de los algoritmos y el aseguramiento de sus características a lo largo del tiempo de validez, se realizará mediante la utilización de mecanismos de resellado y el almacenamiento de la firma electrónica en un depósito seguro.

\r\n

Las operaciones de fechado se realizarán con marcas de fecha y hora, no siendo necesario su sellado de tiempo. Las reglas comunes permitirán establecer responsabilidades respecto a la firma electrónica sobre la persona o entidad que crea la firma y la persona o entidad que la verifica debiendo estar firmados si son requisitos para el firmante, o no firmados si son requisitos para el verificador.

\r\n

Estas reglas se definirán en base a los formatos de firma electrónica admitidos, teniendo en cuenta los diferentes usos de la firma electrónica basada en certificados, al uso de algoritmos y a los procesos de creación y validación de firma.

\r\n

Formatos admitidos de firma electrónica: Los formatos admitidos por las organizaciones para las firmas electrónicas basadas en certificados electrónicos, se ajustarán a las especificaciones de los estándares europeos relativos a los formatos de firma electrónica así como a lo establecido en la NTI de Catálogo de estándares. Estándares abiertos basados en estándares de firma europeos y ampliamente utilizados.

\r\n

a) Seleccionados de entre los definidos por la Comisión Europea para la política de interoperabilidad de firmas electrónicas que será regulada a través de Decisión Comunitaria.

\r\n

b) Compatibles con la definición de políticas de generación y validación de firmas para facilitar la interoperabilidad deseada y el automatismo en el tratamiento de firmas electrónicas generadas por distintas organizaciones.

\r\n

c) Tales que permitan desarrollar funcionalidades avanzadas como la generación de firmas longevas de cara a garantizar su preservación.

\r\n

d) Si procede, interoperables con la política marco en la que se basan.

\r\n

Cada organización determinará los formatos y estructuras concretas de firma a incluir en su política, aplicando los criterios expuestos en esta NTI de forma proporcional al uso y necesidades de la firma electrónica en cada caso.

\r\n

Cada organización identificará a la entidad gestora encargada de publicar y actualizar la relación de las especificaciones relativas a los formatos admitidos en su política.

\r\n

La política de firma incluirá los requisitos o, en su caso, procedimientos de actualización, para considerar la inclusión de nuevas versiones de los formatos soportados.

\r\n

Formatos de firma electrónica de transmisiones de datos: La firma electrónica de transmisiones de datos estará basada en estándares recogidos en la NTI de Catálogo de estándares, siendo responsabilidad del emisor y gestor de la política la definición de las consideraciones concretas a aplicar por cada organización. Cada política definirá las versiones soportadas así como los cambios en aquellas que pueden provocar una actualización de dicha política. Formatos de firma electrónica de contenido: En la política de firma se especificarán los formatos admitidos para la firma electrónica de contenido. Los formatos para la firma electrónica de contenido, atendiendo a la NTI de Catálogo de estándares, serán:

\r\n

a) XAdES (XML Advanced Electronic Signatures), según la especificación técnica ETSI TS 101 903, versión 1.2.2 y versión 1.3.2.

\r\n

b) CAdES (CMS Advanced Electronic Signatures), según la especificación técnica ETSI TS 101 733, versión 1.6.3 y versión 1.7.4.

\r\n

c) PAdES (PDF Advanced Electronic Signatures), según la especificación técnica ETSI TS 102 778-3.

\r\n

Las organizaciones aplicarán consideraciones de casos particulares para firma de contenido, al menos, en los siguientes casos:

\r\n

a) Los documentos electrónicos a los que se aplique firma basada en certificados de cara a su intercambio se ajustarán a las especificaciones de formato y estructura establecidas en la NTI de Documento electrónico. El formato de firma basada en certificados que acompaña a un documento electrónico se reflejará en el metadato mínimo obligatorio definido en la NTI de Documento electrónico 'Tipo de firma', que, en este caso, podrá tomar uno de los siguientes valores: i. XAdES internally detached signature. XAdES enveloped signature. ii. CAdES detached/explicit signature. iii. CAdES attached/implicit signature. iv. PAdES.

\r\n

b) La firma de facturas electrónicas según el formato «Facturae» se realizará conforme a lo regulado por la Orden PRE/2971/2007, de 5 de octubre. Reglas de creación de firma electrónica: Las políticas de firma definirán las condiciones particulares bajo las que, en su ámbito, se generará la firma electrónica. Las plataformas que presten el servicio de creación de firma electrónica proporcionarán las funcionalidades necesarias para soportar un proceso de creación de firmas basado en los siguientes puntos:

\r\n

a) Selección por parte del usuario firmante del fichero, formulario u otro objeto binario para ser firmado. Los formatos de ficheros atenderán a lo recogido en la NTI de Catálogo de estándares. El firmante se asegurará de que el fichero que se quiere firmar no contiene contenido dinámico que afecte a su validez y que pudiese modificar el resultado de la firma a lo largo del tiempo.

\r\n

b) El servicio de firma electrónica ejecutará las siguientes verificaciones previas a la creación de la firma:

\r\n

i. La firma electrónica puede ser validada para el formato del fichero específico que va a ser firmado.

\r\n

ii. Los certificados a utilizar han sido expedidos bajo una Declaración de Políticas de Certificación específica y son certificados válidos según la legislación aplicable.

\r\n

iii. Validez del certificado, comprobando si el certificado ha sido revocado, o suspendido, si entra dentro de su periodo de validez, y la validación de la cadena de certificación, incluyendo la validación de todos los certificados en la cadena.

\r\n

Si alguna de estas verificaciones es errónea, el proceso se interrumpirá. La vinculación del firmante se establecerá a través de etiquetas que, incluidas bajo la firma, y definidas según los estándares correspondientes (XAdES, CAdES y/o PAdES), proporcionarán la siguiente información complementaria a ésta:

\r\n

a) Fecha y hora de firma, que podrá ser meramente indicativa en función de cómo se haya generado la firma.

\r\n

b) Certificado del firmante.

\r\n

c) Política de firma sobre la que se basa el proceso de generación de firma electrónica.

\r\n

d) Formato del objeto original.

\r\n

Como datos opcionales, la firma electrónica podrá incluir:

\r\n

a) Lugar geográfico donde se ha realizado la firma del documento.

\r\n

b) Rol de la persona firmante en la firma electrónica.

\r\n

c) Acción del firmante sobre el documento firmado (lo aprueba, lo informa, lo recibe, lo certifica, etc.).

\r\n

d) Sello de tiempo sobre algunos o todos los objetos de la firma. La información indicada en los epígrafes 3 y 4 del presente subapartado se recogerá en cada formato de firma según las etiquetas del anexo.

\r\n

En caso de creación de firmas electrónicas por distintos firmantes sobre un mismo objeto, donde el segundo firmante ratifica la firma del primero se utilizará la etiqueta correspondiente, CounterSignature, para contabilizarlas. En el caso de que las múltiples firmas se realicen al mismo nivel, cada una de ellas se representará como una firma independiente. Reglas de validación de firma de electrónica:

\r\n

Las políticas de firma definirán las condiciones particulares bajo las que, en su ámbito, será posible validar la firma electrónica de un documento. En el caso de documentos electrónicos, para acceder a la visualización de la firma, el usuario podrá presentar dicho documento electrónico, que contenga los datos, metadatos y firma o firmas, en una sede electrónica o en otros sistemas generales que proporcionen herramientas de reproducción de documentos electrónicos, como el servicio Valide, en el 060. Las condiciones mínimas que se producirán para la validación de la firma serán las siguientes:

\r\n

a) Garantía de que la firma es válida para el fichero específico que está firmado. b) Validez de los certificados: i. El instante de tiempo que se tomará como referencia para la validación será:

\r\n

1) El momento en que se produjo la firma si se da alguno de los siguientes supuestos:

\r\n

a) los servicios de los prestadores facilitan los históricos de estado de los certificados y la firma lleva un sello de tiempo válido en el momento de la verificación.

\r\n

b) se trata de firmas longevas que incluyen las evidencias de la validez de la firma electrónica en el momento de la generación o primera validación, y dichas evidencias se encuentran selladas con un sello de tiempo válido.

\r\n

2) En otros casos, el momento de la validación. ii. Se comprobará que los certificados no fueron revocados ni suspendidos y que no han expirado. iii. Se comprobará la validez de toda la cadena de certificación, incluyendo todos los certificados que la componen, con independencia de que éstos se encuentren incluidos en la propia firma o no. iv.

\r\n

Se verificará que el certificado ha sido expedido por un prestador de servicios de certificación de confianza bajo una Declaración de Prácticas de Certificación que cumplirá la normativa y estará incluido en la política de firma aplicable. v. Verificación, si existen y si así lo requiere la política de la plataforma de relación electrónica o un servicio concreto de dicha plataforma, de los sellos de tiempo de los formatos implementados, incluyendo la verificación de los periodos de validez de los sellos.

\r\n


Facebook Twitter Google Digg Reddit LinkedIn Pinterest StumbleUpon Email Stampa