Gartner: Entrust nombrado líder en verificación de identidad.

Portal web abiertoAyudaContacto
Signhost logoSignhost logo
Conectarse

La regulación eIDAS explicada: lo que todas las empresas deben saber

Equipo Signhost

December 12, 2024

image

La Regulación eIDAS entró en vigor en toda la Unión Europea en septiembre de 2014, exigiendo que todos los estados miembros promulgasen sus cláusulas antes del 1 de julio de 2016. La regulación forma parte de la agenda digital de la UE, que tiene como objetivo “garantizar un entorno digital justo, abierto y seguro” para las empresas de toda la unión.

Este artículo explica qué es la Regulación eIDAS y cómo ayuda a crear transacciones digitales seguras, fluidas y sin problemas en todos los estados miembros de la UE.

¿Qué es la Regulación eIDAS y Qué Significa?

eIDAS significa Identificación Electrónica, Autenticación y Servicios de Confianza, y la regulación es parte de un esfuerzo más amplio para estandarizar las normas para las transacciones electrónicas, como las firmas electrónicas, en la UE. La idea es que cualquier persona, empresa o entidad pública en cualquier estado miembro debería poder realizar transacciones electrónicas con cualquier otra persona, empresa o entidad pública en el mercado interno de manera segura y sin encontrar obstáculos.

La Regulación eIDAS, formalmente conocida como el Reglamento 910/2014, fue emitida el 23 de julio de 2014 con el objetivo de crear certeza legal sobre la identificación digital en el bloque. Crea reglas para los servicios de confianza que facilitan las transacciones electrónicas. También define un marco legal para:

  • Firmas electrónicas
  • Sellos electrónicos
  • Sellos de tiempo electrónicos
  • Documentos electrónicos
  • Servicios de entrega registrada electrónica
  • Servicios de certificación para la autenticación de sitios web

La interoperabilidad promovida por eIDAS significa que las naciones europeas ahora pueden trabajar juntas para reconocer y autenticar los sistemas de identificación electrónica de los demás, lo que reduce la burocracia para las empresas. La creación de una lista de proveedores de servicios de confianza fomenta el debate y la innovación en términos de medidas de seguridad electrónica.

Cualquier empresa que utilice transacciones electrónicas en toda la UE debe asegurarse de cumplir con la Regulación eIDAS.

Comprendiendo la Terminología

Hay una gran cantidad de términos que debe comprender para cumplir con eIDAS. Aquí están las definiciones más importantes de la regulación.

Servicios de Confianza Calificados

También conocidos como Proveedores de Servicios de Confianza (TSP por sus siglas en inglés), estos organismos crean, verifican y validan certificados para transacciones electrónicas como las firmas electrónicas. Los Servicios de Confianza Calificados (QTS) son aquellos que han sido reconocidos para ofrecer un servicio lo suficientemente seguro como para proporcionar certificados para Firmas Electrónicas Calificadas. El organismo supervisor del estado miembro determina qué proveedores de servicios de confianza están calificados. Solo los QTS que aparecen en la Lista de Confianza de la UE pueden proporcionar servicios que autentiquen el nivel más alto de transacciones seguras bajo la legislación eIDAS.

Autoridad Certificadora

Un QTS es un tipo de autoridad certificadora, ya que tiene la autoridad para emitir los certificados que validan las transacciones electrónicas. También se conoce como autoridad de certificación o CA.

Firmas Electrónicas

A un nivel básico, las firmas electrónicas son fragmentos de datos digitales utilizados para denotar aceptación o acuerdo con el contenido de un documento. eIDAS establece que una firma electrónica no puede ser denegada su efecto legal solo porque sea electrónica. Sin embargo, los estados individuales deben decidir el impacto legal de una firma electrónica dentro de sus fronteras. Esto no incluye una Firma Electrónica Calificada (QES), que tiene el mismo peso que una firma manuscrita tradicional en toda la unión. Siga leyendo para conocer más sobre los diferentes tipos de firma electrónica.

Sellos Electrónicos

Los sellos electrónicos, o eSellos, son datos electrónicos que aseguran el origen e integridad de otros datos. Es un poco como una huella digital para una empresa u organización que valida que la información recibida proviene de esa empresa. Los sellos electrónicos pueden usarse para validar facturas procesadas automáticamente o contratos enviados entre empresas en diferentes estados miembros sin tener que enviar documentos en papel por correo. Un Sello Electrónico Calificado tiene el mismo peso en toda la unión.

Sellos de Tiempo Electrónicos

Un sello de tiempo electrónico, o eTimestamp, se puede aplicar con una Firma Electrónica Calificada para demostrar exactamente cuándo firmó el documento. El emisor del documento debe reconocer legalmente que la fecha y hora del sello de tiempo son correctas si se aplica a la QES. Es una prueba electrónica de que un dato existió en un punto específico en el tiempo. Esto facilita el seguimiento del progreso de los documentos y proporciona una mayor responsabilidad.

Servicios de Entrega Registrada Electrónica

Un Servicio de Entrega Registrada Electrónica, o eDelivery, permite que organizaciones públicas, empresas y el público transfieran datos hacia y desde otras partes, con prueba de envío y recepción. Esto aumenta la responsabilidad y minimiza el riesgo de que los datos se pierdan, sean robados o alterados por una parte no autorizada. Los Servicios de Entrega Registrada Electrónica pueden usarse para órdenes de compra, contratos o cualquier otro tipo de documentación similar.

Certificado de Autenticación Web Calificado

Estos certificados demuestran quién es el propietario de un sitio web. Un QWAC da a los visitantes confianza de que el sitio web que están visitando es confiable y seguro. Esta certificación ayuda a evitar sitios de phishing y otras estafas en línea.

¿Cuáles son los Tipos de Firmas Electrónicas según eIDAS?

eIDAS define tres tipos diferentes de firmas electrónicas, con niveles de seguridad crecientes. Aquí están los tres tipos y algunas de sus características:

Tipo de Firma Electrónica


Características

Firma Electrónica Simple (SES)
También llamada Firma Electrónica Básica, esta puede ser cualquier forma de marca digital para indicar la aceptación de un documento. Desde escanear una copia de su firma manuscrita y pegarla en la página hasta presionar un botón que diga "Aceptar". Si no es necesario verificar la identidad digital del firmante, esta es una firma electrónica aceptable.

Firma Electrónica Avanzada (AES)
Para recibir una AES, es necesario poder verificar la identidad del firmante. No es necesario garantizarla, sin embargo. También debe tener la capacidad de comprobar que no hay cambios posteriores en el documento después de que el destinatario haya añadido su firma. Para crear una AES, se necesita un Dispositivo Seguro de Creación de Firmas (SSCD).

Firma Electrónica Calificada (QES)
La QES tiene un estatus especial en la Regulación eIDAS, que le otorga el mismo peso que una firma manuscrita en persona en toda la unión. Esto se debe a la forma segura en que se crea la QES. Para obtener una QES, primero debe confirmar su identidad con un QTP, ya sea cara a cara o mediante una videollamada. Una QES también requiere autenticación de múltiples factores cuando se utiliza, como la introducción de un código PIN.

Es necesario un Dispositivo Seguro de Creación de Firmas Calificado (QSCD) para generar una QES.

En el caso de un SES o AES, el emisor debe probar que el firmante es la persona que decía ser si surge una disputa después. Una QES es tan segura que, si el firmante niega que fue él quien realizó la firma, la carga de la prueba recae sobre él durante cualquier procedimiento legal posterior.

Niveles de Garantía

Existen tres niveles de garantía para los diferentes medios de identificación electrónica, como se presenta en el Artículo 8 de la regulación. Estos forman la base de la clasificación de los tres tipos de firma electrónica. Estos son los tres niveles de garantía de eIDAS:

Nivel de Garantía
Características

Bajo
Los métodos de identificación electrónica que cumplen con la provisión para un nivel de garantía bajo ofrecen solo "un grado limitado de confianza" al verificar la identidad del destinatario.

Sustancial
Un nivel de garantía sustancial significa que el método de eID ofrece más confianza en términos de identificación precisa.

Alto
Las eIDs con un nivel de garantía alto ofrecen "un mayor grado de confianza" cuando se trata de identificar al firmante.

 

Estos niveles de garantía se basan en la norma ISO/IEC 2915 y utilizan dos tipos principales de garantía para definirlos.

Garantía de Identidad – Se refiere a los sistemas implementados para identificar al individuo cuando se registra para el servicio.

Garantía de Autenticación – Se refiere a cómo se verifica esa identidad en el momento de firmar el documento.

Para el Nivel de Garantía Bajo, podría requerirse una forma básica de identificación al registrarse y luego una contraseña simple al iniciar sesión. Aunque existen algunos sistemas para garantizar que la persona correcta firme el documento, no sería difícil para un tercero adquirir esa información y firmar fraudulentamente.

Para el Nivel de Garantía Sustancial, podría verificarse la identificación con una autoridad y requerir no solo una contraseña, sino también un Código de Acceso Único (OTP) enviado por SMS para completar la firma.

Para el Nivel de Garantía Alto, se utilizaría la autoridad de registro y luego se verificaría la identificación utilizando documentación oficial del gobierno y mediante una reunión cara a cara, ya sea en persona o por videollamada. Al momento de firmar, se necesita autenticación de múltiples factores y protección criptográfica mediante una infraestructura de clave pública (PKI).

¿Cuáles son los Niveles de Seguridad para la Identificación Electrónica (eID)?

Como eIDAS es una regulación de la UE que permite que los estados miembros califiquen sus propios servicios de confianza con relación a eID, el texto de la legislación es específico en cuanto a mantener el mismo nivel de seguridad en toda la unión. Una de las razones detrás de eIDAS fue proporcionar transacciones transfronterizas sin problemas, lo que hace que esta consistencia sea importante.

El párrafo 34 exige que los gobiernos individuales sigan los "requisitos esenciales de supervisión" para mantener esta paridad. También se les alienta a discutir las mejores prácticas con sus contrapartes. Se les pide a los estados que utilicen procesos informáticos comparables para crear QES, por ejemplo.

La regulación también deja claro que la QES y el Sello Electrónico Calificado representan el nivel más alto de seguridad y que ningún estado miembro debe requerir ningún tipo de eID que exija un nivel de seguridad más estricto para verificar una transacción de otro estado.

Normas Tecnológicas

Aunque eIDAS no impone especificaciones técnicas, existen normas establecidas para los proveedores de servicios de confianza por la Comisión Europea y la mayoría de los estados miembros las mencionan cuando construyen sus listas de confianza. Se deben cumplir ciertas especificaciones para la certificación de los propios TSP, para los niveles de garantía de eID y para los tres tipos de firma.

En noviembre de 2017, la Comisión Europea (EC) emitió el Reglamento Delegado sobre Normas Técnicas Regulatorias para la Autenticación Fuerte del Cliente y Normas Comunes y Abiertas de Comunicación Segura.

Este reglamento complementa eIDAS y tiene como objetivo proporcionar a los clientes de todo el bloque la experiencia más segura posible en línea en cuanto a la validez de pagos y otras transferencias electrónicas. Exige que los proveedores de pagos utilicen certificados calificados para sellos electrónicos y certificados calificados para la autenticación de sitios web.

Cómo las Empresas se Ven Afectadas por la Regulación eIDAS

Las empresas pueden beneficiarse de la Regulación eIDAS de varias maneras. En primer lugar, hay un flujo de trabajo mucho más ágil. Se han ido los documentos en papel que debe enviar a través de la unión para su firma y luego esperar hasta que regresen. Usando una solución de firma como Signhost, todo ocurre en su dispositivo, con un recibo de transacción útil generado para su registro.

Hoy en día, las empresas cada vez más trabajan con socios en otros estados miembros o incluso en varios estados miembros. En estos y muchos otros casos, el estándar a nivel de la UE para la validez legal de una QES hace que las transacciones comerciales sean más seguras. Significa que no hay incertidumbre sobre la legitimidad del acuerdo en diferentes jurisdicciones. Y puede tener un alto nivel de confianza cuando se trata de cumplir con la normativa.

También hay una carga administrativa menor porque todo se realiza en línea y sigue un proceso claro y fácil de seguir. Cuando alguien debe firmar un documento, recibe la información en su teléfono o tableta, lo que significa que no tiene que estar persiguiéndolos para obtener la firma.

También hay un nivel de seguridad más alto a considerar. Usar una QES le da la protección de sistemas criptográficos intrincados para mantener sus datos seguros de una manera que enviar un documento por correo, por fax o incluso por correo electrónico no hace.

Preguntas Frecuentes

¿Qué es un servicio de confianza?

El proveedor de servicios de confianza crea certificados digitales que autentican firmas electrónicas y dan confianza tanto al emisor como al firmante de que la transacción es segura. Los proveedores de servicios de confianza calificados pueden emitir certificados para Firmas Electrónicas Calificadas y están listados en la Lista de Confianza de la UE una vez calificados por las autoridades públicas en su país.

¿Qué es EUTL?

El EUTL es la Lista de Confianza de la Unión Europea y presenta a los organismos a través de la unión cuyos gobiernos les acreditan con la capacidad de cumplir con los requisitos de eIDAS. Los proveedores en esta lista están autorizados para crear certificados digitales para verificar transacciones electrónicas.

Conclusión

La Regulación eIDAS ha transformado la forma en que los estados miembros de la UE hacen negocios, asegurando interacciones electrónicas sin problemas y haciendo que la experiencia sea más segura y ágil. Como parte de la agenda digital de la unión, la regulación gobierna la implementación de los niveles más altos de seguridad para garantizar confianza y certeza cuando se trabaja digitalmente a través de las fronteras. Por eso es importante que todas las empresas cumplan con eIDAS al realizar identificación electrónica.

Referencias y Lecturas Adicionales

  • Guía de la Comisión Europea sobre eIDAS
  • Identificación electrónica de nuevos clientes
  • Iniciar sesión sin nombres de usuario y contraseñas
  • Métodos de firma e identificación en Europa
  • Navegador de Lista de Confianza

Descargo de Responsabilidad: Este contenido no constituye asesoramiento legal. La idoneidad, aplicabilidad o admisibilidad de los documentos electrónicos dependerá probablemente de muchos factores, como el país o estado donde opere, el país o estado donde se distribuirá el documento electrónico, así como el tipo de documento electrónico involucrado. Se debe consultar a un abogado adecuado para analizar cualquier posible implicación legal y preguntas relacionadas con el uso de documentos electrónicos.