Las obligaciones de los prestadores de servicios de certificación

No quiero ser muy pesado con el tema de los prestadores de servicios pero creo que la gravedad del asunto merece dedicarle la atención debida. El presente post tan sólo pretende aclarar por qué es ta importante cumplir con los requisitos establecidos por la Ley de Firma Digital cuando se están generando certificados, ya sean de usuario o de autenticación de servidor.

La Ley 59/2003, de Firma Digital se supone que establece el marco jurídico para que el uso de certificados digitales y la firma electrónica dentro de los nuevos procesos telemáticos se encuentre garantizado y se realize de forma segura para no tener problemas con la autenticación, integridad, confidencialidad y no repudio de datos y actores.

Tras comprobar cómo existen muchas PKI "de bolsillo" (o por decirlo jurídicamente en terminos adecuados, que se pasan los artículos 18, 19 y 30 por el forro) voy a tratar de mostrar qué es eso tan complejo a lo que estas PKI's tienen miedo.

"Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.
Los prestadores de servicios de certificación que expidan certificados electrónicos deberán cumplir las siguientes obligaciones:
-No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.
- Proporcionar al solicitante antes de la expedición del certificado la siguiente información mínima, que deberá transmitirse de forma gratuita, por escrito o por vía electrónica:
> Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos y determinados dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.
> Los mecanismos para garantizar la fiabilidad de la firma electrónica de un documento a lo largo del tiempo.
> El método utilizado por el prestador para comprobar la identidad del firmante u otros datos que figuren en el certificado.
> Las condiciones precisas de utilización del certificado, sus posibles límites de uso y la forma en que el prestador garantiza su responsabilidad patrimonial.
> Las certificaciones que haya obtenido, en su caso, el prestador de servicios de certificación y los procedimientos aplicables para la resolución extrajudicial de los conflictos que pudieran surgir por el ejercicio de su actividad.
> Las demás informaciones contenidas en la declaración de prácticas de certificación.

La información citada anteriormente que sea relevante para terceros afectados por los certificados deberá estar disponible a instancia de éstos.

Mantener un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados.

Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro."

A eso le llamo yo montar una PKI digna de confianza.

Para las de bolsillo, (esas que nos estamos acostumbrando a ver y que se presentan con una advertencia de seguridad del navegador dudando de la validez del candado) si hemos de suponer que no pueden demostrar lo anteriormente dicho, pudieramos pensar también que:

- Podrían almacenar o copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.
-Podrían no tener un método para comprobar la identidad del firmante u otros datos que figuren en el certificado.
- Pudieran no tener registro de las certificaciones que haya obtenido, en su caso, el prestador de servicios de certificación y los procedimientos aplicables para la resolución extrajudicial de los conflictos que pudieran surgir por el ejercicio de su actividad.
- Pudieran disponer de un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida así como alterar la integridad del directorio cuando les plazca para cambiar los datos de los certificados que les interesen.
- O no garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro, con lo que un certificado digital y una fotocopia de DNI tendrían la misma validez respecto a la comprobación y verificación de la identidad.


¿Asustados? No se vayan todavía aun hay mas.


Artículo 19. Declaración de prácticas de certificación.
1. Todos los prestadores de servicios de certificación formularán una declaración de prácticas de certificación en la que detallarán, en el marco de esta Ley y de sus disposiciones de desarrollo, las obligaciones que se comprometen a cumplir en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos, las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados las medidas de seguridad técnicas y organizativas, los perfiles y los mecanismos de información sobre la vigencia de los certificados y, en su caso la existencia de procedimientos de coordinación con los Registros públicos correspondientes que permitan el intercambio de información de manera inmediata sobre la vigencia de los poderes indicados en los certificados y que deban figurar preceptivamente inscritos en dichos registros.

2. La declaración de prácticas de certificación de cada prestador estará disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita.

3. La declaración de prácticas de certificación tendrá la consideración de documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal y deberá contener todos los requisitos exigidos para dicho documento en la mencionada legislación."

O sea, ¡EXISTEN UNOS REQUISITOS MÍNIMOS DE SEGURIDAD para poder generar certificados digitales!

(Pensamientos de un informático que dispone de su PKI de bolsillo)

- Pues me han jodío el kiosko. Con lo apañado que estoy yo con mi servidor que hace certificados como churros a todos mis usuarios y los beneficios que eso me reporta. Ahora resulta que este mecanismo tan fiable necesita de seguridad y encima tengo que decirle a la gente qué y cómo protego su certificado. Además ¡tengo que cumplir la dichosa LOPD que está por todas partes!
Pero si lo tengo yo todo bajo control, ¿por qué tengo que darle cuentas a nadie?
¿Es que el juez dudará de mi cuando de presente las pruebas electrónicas de lo que hacen mis usuarios? Pero si soy de fiar, coño. Fijese cuánto que tengo las contraseñas de todos los usuarios porque yo las genero y las guardo. Además soy incorruptible. Jamás se me pasará por la cabeza apuntarle a un enemigo un correo difamatorio o falsificar un documento y firmarlo para que me ingresen en cuenta algunos eurillos, que va... soy lo más honrado que existe.

¡Burrocracia, como complican la vida estos jueces!

(Fin de los pensamientos)

Y lo último por comentar. El Titulo en donde el Estado, como buen padre que vela por el cumplimiento de las leyes se reserva la potestad de revisar y controlar el buen uso de este revolucionario mecanismo de seguridad.


TÍTULO V.SUPERVISIÓN Y CONTROL.

Artículo 30. Deber de información y colaboración.

1. Los prestadores de servicios de certificación, la entidad independiente de acreditación y los organismos de certificación tienen la obligación de facilitar al Ministerio de Ciencia y Tecnología toda la información y colaboración precisas para el ejercicio de sus funciones.

En particular, deberán permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquéllas.

2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Ciencia y Tecnología el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

3. Cuando, como consecuencia de una actuación inspectora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.


En fin, documentado el tema y explicados los motivos que llevan a garantizar juridicamente el uso y generación de certificados y firmas digitales solo queda llorar ante la triste realidad.

Nos encontramos todos los días con:

- La indisponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro. Tengo configurado el navegador para que SIEMPRE consulte la lista de certificados revocados (CRL) y estoy cansado del mensaje diciendome que no es posible acceder.

- Certificados RAIZ del árbol de confianza en donde no te indican cuales son las prácticas de certificación

- Certificados donde uno no tiene claro quién es la organización asociada al certificado y datos fiables para creer que ese certificado es realmente suyo.

- Certificados de servidor para autenticar una URL y que luego no coincide la que aparece en la página con la que se autentica en el certificado.

Visto todo esto, ¿qué confianza en la Firma Digital esperamos generar? ¿Es confianza poder pintar el dichoso candado en el navegador? ¿Vamos a tener que esperar a las primeras sentencias donde se invalide un trámite administrativo por no cumplir con lo citado en este post para empezar a tomarnos en serio el uso de los certificados digitales?

Parece que este tema lleva el mismo y triste camino que la protección de datos de carácter personal y su reglamento de medidas de seguridad. En cualquier caso, como ya puse en otro post, "El desconocimiento de una ley no exime de su cumplimiento".