¿Qué es el reglamento eIDAS?

¿A quién y a qué afecta el reglamento eIDAS?

En términos generales, eIDAS tiene repercusiones:

• Ciudadanos de países de la UE.
• Organizaciones con sede en la UE o que tratan con otras organizaciones o ciudadanos de la UE.
• Los proveedores de servicios de confianza (TSP) de la UE protegen las transacciones de la UE a través de una red pública, en particular, aquellas relacionadas con asuntos comerciales o jurídicos que requieren la autenticación de la identidad digital. Un TSP incluye cualquier entidad implicada en la creación, validación y conservación de identidades electrónicas, firmas electrónicas, sellos electrónicos o certificados digitales.

He aquí una lista no exhaustiva de transacciones digitales cubiertas por eIDAS:

• Transacciones relacionadas con viajes.
• Facturación electrónica de empresa a empresa.
• Servicios gubernamentales, como votar o declarar impuestos.
• Acuerdos bancarios, inversiones y préstamos.
• Autenticación de sitios web.
• Servicios de pago de terceros.

El reglamento eIDAS requiere que los servicios gubernamentales, comerciales y públicos reconozcan los formatos de firma estándar y las identidades paneuropeas. En otras palabras, cualquier ID electrónica de un ciudadano debe reconocerse igual de bien en cualquier estado miembro de la UE. En particular, el peso del cumplimiento recae directamente en los TSP, no en los propios consumidores.

¿Cuáles son las ventajas del eIDAS?

La introducción de la identificación electrónica y los servicios fiduciarios puede tener muchas ventajas. Según la Comisión Europea, estas ventajas incluyen lo siguiente:

1. Mejor experiencia de usuario: Los tipos de servicios de autenticación que permite eIDAS garantizan una entrega de productos sin problemas a los consumidores. Y lo que es más importante, aumentan la confianza y la satisfacción, dado que ofrecen a los clientes un mayor nivel de seguridad durante el proceso de transacción.
2. Seguridad incrementada: eIDAS permite a los individuos acceder cómodamente a una amplia gama de servicios en línea sin comprometer su información. Las empresas están sujetas a requisitos de protección de datos más estrictos, lo que garantiza un trato de los datos personales de los consumidores más cuidadoso y de conformidad con las obligaciones legales.
3. Eficiencia transfronteriza optimizada: Con eIDAS, las organizaciones ya no tienen que navegar por esquemas complejos y variados que difieren según la ubicación, lo que solía ser un punto problemático habitual en el comercio electrónico internacional. Ahora, las empresas pueden realizar transacciones independientemente del estado miembro de la UE en el que se encuentren.

Por supuesto, eIDAS también ha generado un impacto socioeconómico positivo. El reglamento fomenta el crecimiento económico digital eliminando las barreras del comercio electrónico que, de otro modo, complicarían los servicios en línea.

Una identificación electrónica o eID es un medio electrónico de verificación de la identidad digital de alguien. Según la Comisión Europea, una ID electrónica segura es esencial para la vida cotidiana en el mundo digital.

Puede utilizarse para consultar el correo electrónico, comprar en línea, desbloquear dispositivos y muchas otras actividades habituales. La identificación electrónica también puede garantizar la identificación inequívoca de una persona, asegurando que se presta el servicio correcto a la persona que realmente tiene derecho. A su vez, las identificaciones electrónicas son un aspecto vital de la banca en línea y otras transacciones digitales sensibles.

Niveles de seguridad de eIDAS

El término “nivel de seguridad” hace referencia a la certeza que puede tener un proveedor de servicios de que la identidad declarada de una persona es exacta. En otras palabras, es el grado de confianza en que una persona es quien dice ser cuando utiliza una eID para acceder a un servicio en línea.

En virtud de eIDAS, un sistema de identificación electrónica debe clasificarse según tres niveles de seguridad:

1. Bajo: El sistema eID utiliza una autenticación sencilla, como contraseñas, con pocas comprobaciones de identidad durante el proceso de registro.
2. Sustancial: El sistema utiliza la autenticación de dos factores con comprobaciones adicionales durante el proceso de registro.
3. Alto: El nivel más alto de seguridad utiliza sofisticados mecanismos de autenticación de factores múltiples con exhaustivas comprobaciones de identidad.

Los tres niveles se basan en gran medida en la autenticación, que es esencialmente el proceso de verificación de una identificación electrónica. Esto implica la recopilación de datos de identidad relevantes; es decir, información sobre un individuo o entidad que solo la persona real podría compartir. En general, los métodos de autenticación utilizan tres factores de acreditación de identidad:

1. Autenticación basada en conocimientos: El firmante proporciona algo que solo él conoce, como una contraseña o un código.
2. Autenticación basada en la posesión: El firmante proporciona algo que solo él tiene, como un documento de identidad o una tarjeta inteligente.
3. Autenticación biométrica: El firmante se verifica por sus características físicas, por ejemplo, mediante huellas dactilares o reconocimiento facial.

En particular, el reglamento eIDAS no especifica qué tecnologías o métodos de autenticación se requieren para cumplir cada nivel de seguridad. Por eso los países de la UE desarrollan sus propios sistemas de identificación electrónica. Aunque se base en los principios de eIDAS, cada estado es libre de diseñar un sistema de forma que refleje su panorama tecnológico único.

Un estudio de 2022 arroja luz sobre cómo crean sus regímenes los estados miembros de la UE. Según los resultados:

• Los sistemas de identificación electrónica de 25 países ofrecen un alto nivel de seguridad.
• 20 apoyan una garantía sustancial.
• 12 tienen un apoyo bajo.

Como puede ver, la UE se inclina por una mayor seguridad, lo que subraya la importancia de la identificación electrónica segura.

Los servicios de confianza se refieren a una amplia gama de actividades de autenticación y firma para proteger las transacciones electrónicas. Algunos de los servicios de confianza más comunes son los siguientes:

• Certificados: Un método para garantizar la identidad de alguien es que una autoridad externa le expida un certificado digital. En pocas palabras, un certificado es un archivo que prueba la autenticidad de un dispositivo, un servidor, un usuario o una entidad mediante criptografía de clave pública. Funciona con una copia de una clave pública del titular del certificado, que debe cotejarse con una clave privada correspondiente para verificar que es real.
• Marca de tiempo electrónica: La marca de tiempo es un proceso en el que una fecha y una hora se vinculan electrónica y criptográficamente a un documento, su firma y otra información, certificando así su existencia en un momento dado. La exactitud de la fecha y la hora está garantizada por el proveedor de servicios de confianza y no puede ser comprometida por terceros. Esto puede ser jurídicamente importante por muchas razones, pero es especialmente útil cuando los acuerdos contractuales están en litigio.
• Firma y sello electrónicos: Una firma electrónica, al igual que su homóloga manuscrita, es una forma de certificar la autenticidad de un documento legal y establecer la intención de quedar vinculado por los términos del mismo. En cambio, un sello electrónico representa a toda una organización y no a una persona.
• Firma digital: Una firma digital es un tipo de firma electrónica que se crea utilizando un certificado digital y una clave de firma privada. Como las firmas digitales son a prueba de manipulaciones, garantizan que un documento no ha sido alterado después de ser firmado.

Cualquier organización que facilite uno de los casos anteriores se considera un proveedor de servicios de confianza y, por lo tanto, está sujeta al cumplimiento de eIDAS.

eIDAS define tres tipos de firmas electrónicas que un proveedor de servicios puede ofrecer:

1. Firma electrónica simple

La Comisión Europea considera que la firma electrónica simple es la más básica de las tres. Se define como “los datos en formato electrónico adjuntados o asociados de manera lógica a otros datos electrónicos que utiliza el firmante para firmar”. En esencia, algo tan sencillo como garabatear su nombre en un documento electrónico podría constituir una simple firma electrónica.

2. Firma electrónica avanzada

Una firma electrónica avanzada tiene requisitos más precisos. Por ejemplo:

• Está vinculada de forma exclusiva al firmante y es capaz de identificarlo.
• Se crea de forma que el firmante mantiene el control.
• Se añade al documento para que se detecte cualquier cambio posterior.

Normalmente, una firma electrónica avanzada se crea utilizando certificados digitales y claves criptográficas, por lo que también puede considerarse una firma digital. No obstante, también se pueden utilizar datos biométricos, códigos de acceso y otros medios electrónicos.

3. Firma electrónica calificada

Como es la más sofisticada de las tres, la firma electrónica calificada ofrece el máximo nivel de seguridad. Sin embargo, hay que tener en cuenta dos requisitos adicionales:

1. Una firma electrónica calificada solo puede crearse utilizando un dispositivo reconocido de creación de firma (QSCD). Un QSCD es un tipo de hardware criptográfico, como un módulo de seguridad de hardware (HSM), que ha sido sometido a un proceso de certificación de eIDAS.
2. Una firma calificada también debe basarse en un certificado reconocido. En el marco de eIDAS, un certificado reconocido sigue unos requisitos más estrictos que un certificado digital típico. Además, solo puede ser emitido por un proveedor de servicios de confianza cualificado (QSTP), como Entrust. Los QSTP son organizaciones que han sido auditadas y a las que una autoridad nacional competente ha concedido un estatus cualificado, tal y como se refleja en la Lista de confianza de la UE.

En Entrust, sabemos que cumplir la normativas no es fácil, y lo mismo sucede con el reglamento eIDAS. Tanto si usted es una organización de la UE o un proveedor de servicios de confianza, querrá ofrecer a los consumidores una experiencia de transacción segura y sin problemas, independientemente de cuándo o dónde se produzca.

Organizaciones de la UE: Genere firmas y sellos avanzados y calificados con Entrust

Entrust es miembro fundador de Cloud Signature Consortium, una autoridad de certificación de confianza global, miembro de la Lista de confianza aprobada de Adobe y proveedor de servicios de confianza calificado de eIDAS en la UE. Podemos ayudarlo a configurar servicios de firma electrónica basados en nuestras firmas avanzadas y calificadas de eIDAS.

Consulte nuestro portal de firmas y pruébelo gratis en signhost.com.

Proveedores de servicios de confianza: Creación de un servicio de confianza de eIDAS

La ejecución de los servicios de confianza requiere una raíz de confianza sólida. Entrust puede ayudarlo a desplegar un dispositivo de creación de firmas calificadas y certificado por eIDAS con HSM nShield combinados con el módulo de activación de firmas de Entrust.

Nuestros HSM permiten a los TSP maximizar la confianza y posibilitar transacciones transfronterizas legalmente vinculantes, todo ello reforzando la seguridad. Los proveedores de servicios pueden aprovechar los HSM nShield para emitir certificados digitales, marcas de tiempo o firmas digitales como parte de las soluciones compatibles con eIDAS.

Entrust también puede proporcionar motores de firma digital para la generación de firmas digitales alineadas con eIDAS. En combinación con las soluciones de PKI de Entrust y las soluciones de gestión de identidad y acceso de Entrust, tendrá todo lo necesario para configurar su propio servicio de firmas.