jueves, 2 de julio de 2009

Prestadores de servicios de certificación "Juan Palomo"

Lo que hoy voy a relatar tiene que ver con los servicios de certificación electrónica que empiezan a ser ya tan habituales. En toda transacción a distancia, la confianza se basa en la comprobación de ciertas premisas previas al inicio de la transacción. En actividades telemáticas, los actores y el canal deben demostrar que son seguros antes de empezar a trabajar. La siguiente imagen podría representar estas tres partes: Entidad-canal-usuario.

Para solventar estos escollos fue para lo que se diseñaron y elaboraron los servicios de certificación electrónica. Como bien dice su nombre, lo que se hace es, de forma electrónica, certificar un hecho, circunstancia o entidad, de forma que quien certifica otorga cierta "confianza" que es válida para los demás. Para ello, la Entidad que certifica expide un certificado digital donde por así decirlo, "da fe" de unos hechos que ha podido constratar y por ende, firma digitalmente que ciertos datos son ciertos.

Todo esto no tendría sentido si cualquiera fuera una "entidad de certificación" puesto que la confianza que alguien así podría proporcionar no tendría ninguna relevancia. Serían certificados "Juan Palomo, yo me lo guiso, yo me lo como". Quedaría en manos de los usuarios de estos certificados el creerse o no que la información que la Entidad "Juan Palomo" es cierta.

Evidentemente, para lograr el objetivo de proporcionar confianza y sobre todo, en muchos casos, garantizar que la seguridad jurídica es completa es por lo que la Ley 59/2003, de 19 de diciembre, de firma electrónica se redactó.

Sin embargo parece que ciertos aspectos todavía pasan desapercibidos para muchos responsables y personal técnico. Quizás el interés por los servicios de seguridad que proporciona un servicio de certificación (básicamente autenticación, integridad, confidencialidad y no repudio) hace que este tipo de infraestructuras de certificación (denominadas comunmente PKI)sean montadas sin atender a los requisitos que la propia legislación incluyó en la prestación de este tipo de infraestructuras.

El objeto de la Ley 59/2003 es regular la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. En el artículo 2 de esta ley podemos leer: "Se denomina prestador de servicios de certificación la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica" siendo un certificado electrónico, por el artículo 6 de esta ley también "Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad".

Sin ser abogado, yo entiendo que cualquiera que quiera expedir certificados o prestar servicios de expedición de los mismos, entra dentro del objeto de esta ley. Es lógico pensar que la potestad para dar fé, aunque sea de uno mismo, no puede estar en manos de cualquiera. No tendrían sentido de ser así las labores de los notarios en los tramites actuales puesto que cualquier podría afirmar que lo que él dice es cierto. Sin embargo parece que en los temas electrónicos estas cosas no se ven tan claras.

Todo esto viene porque vengo encontrandome de forma algo frecuente, certificados digitales raíz de confianza expedidos por las propias empresas u organizaciones, o sea, auto-certificados digitales. La explicación técnica inmediata es que generar un certificado digital y montar una infraestructura de clave pública, a nivel técnico, es algo sencillo que viene incluso desde hace tiempo dentro de los servicios a instalar en los sistemas operativos Microsoft Windows 2000 Server y posteriores. Sin embargo, la seguridad que proporcionan estas infraestructuras están mas vinculadas a lo jurídico que a lo técnico, si las cosas se hacen correctamente.

La legislación no prohibe que cualquiera pueda ser un prestador de servicios de certificación, pero lo que si hace es establecer ciertos requisitos para que dichos servicios sean fiables y válidos. Entre dichas obligaciones están el informar de unos determinados aspectos y comunicar al Ministerio que ejerce como prestador, a efectos de ser incluida en la relación de prestadores prevista en el artículo 30.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica.
Aparte de estos datos se debe anejar a la solicitud copia compulsada o copia simple notarial de las escrituras de la sociedad, incluyendo los poderes de representación, así como copia compulsada del C.I.F. las políticas y las declaraciones de prácticas de certificación correspondientes, las modelos de contratos, así como cualquier otra información relevante sobre la prestación del servicio, que justifique el cumplimiento de las obligaciones impuestas, en cada caso, por la Ley 59/2003, de 19 de diciembre, de firma electrónica (p.e., contenido mínimo de los certificados reconocidos, acreditación del cumplimiento de la garantía exigida en el artículo 20.2).
    Datos obligatorios:
  • Nombre Comercial

  • Nombre o Razón Social

  • Domicilio social o del establecimiento permanente en España (Dirección donde esté efectivamente centralizada la gestión administrativa y la dirección de los negocios): Vía ,Población, Código Postal, Provincia

  • Teléfono

  • Datos de inscripción en registro público (Datos de registro donde haya adquirido la condición de persona jurídica. Ej: Registro Mercantil (cuando proceda): Identificación Registro, Tomo, Folio, Hoja, Número de inscripción, C.I.F., Nombre del Dominio de Internet (enlace).

Es lógico que si dan fe, que al menos estén localizables y se sepa quienes son.
    Datos no obligatorios:
  • Teléfono de información general.

  • Dirección Postal de información general (en caso de que sea diferente del domicilio social o del establecimiento permanente en España).

  • Dirección de correo electrónico de información general.

En relación a los servicios que vaya a prestar, a su vez, también deberá informar sobre:
    Datos obligatorios:
  • Categoría del servicio. Las categorías de servicios contempladas inicialmente son las siguientes:
  • Servicios de certificación basados en certificados reconocidos

  • Servicios de certificación basados en certificados no reconocidos

  • Otros servicios en relación con la firma electrónica - Servicios de validación temporal

  • Otros servicios en relación con la firma electrónica - Servicios de validación de certificados

  • Otros servicios en relación con la firma electrónica - Servicios de custodia

  • Otros servicios en relación con la firma electrónica - Otros servicios

  • Nombre del servicio

  • Descripción del servicio (Descripción en un número máximo de una página)

Todo esto viene porque sigo encontrandome Organismos Públicos que han generado su certificado raíz y que proporcionan enlaces hacia ellos para que el usuario se instale un certificado raíz que no cumple con estos requisitos legales y que por tanto, tampoco aparece en el listado de prestadores de servicios de certificación que el Ministerio publica.

Algunos casos ya los plantee en su momento en el post La e-Administración dando mal ejemplo Solo hay que buscar y aparecen entidades públicas nacionales y regionales que lucen un magnífico certificado digital del tipo "Juan Palomo, ellos se lo guisan, ellos se lo comen".

1 comentarios:

Luis dijo...

Muy interesante la entrada.

Los efectos legales de la criptografía asimétrica se fundamentan precisamente en que la empresa certificadora es, en efecto, una tercera entidad distinta de la persona que se identifica, que certifica la correspondencia enter una persona y un certificado (una clave pública con una identidad). Sin esto... la seguridad por la que un determinado certificado se corresponde con determinada persona, deberá asegurarse por otros medios: experiencia, notoriedad, etc. Si una clave pública es notoria, no necesitamos (en puridad) a ese tercero certificador.

Jurídicamente sin embargo no tienen el mismo valor los documentos firmados utilizando un certificado público o uno emitido por uno mismo. En el primer caso, sobretodo si el certificado es reconocido y ha existido dispositivo seguro de creación de firma, las comprobaciones que han de realizarse en sede judicial son escasas y básicamente se dirigen a comprobar que ha existido ese tercero reconocido y dispositivo seguro de creación de firma (esto último no siempre sencillo). En el caso de certificados raiz o autocertificados, podemos lograr, en el mejor de los casos, una firma electrónica avanzada que, en caso de ser impugnada, deberá probar la autenticidad del documento mediante periciales instrumentales, las cuales deberán poder convencer al juez de la fiabilidad del certificado, bien por la notoriedad bien por la experiencia.

En definitiva, la tercera parte certificadora es prescindible cuando en la relación hay una identificación anterior o una vinculación notoria entre una identidad y un certificado y ello aun cuando probatoriamente no es lo mismo. Cuando la relación es totalmente virtual, es decir, no hay experiencia alguna anterior ni confianza, la figura de la tercera parte certificadora es fundamental para llevar a cabo esa vinculación.

Saludos

 
;