Sei sulla pagina 1di 5

Universidad Internacional de la Rioja

Máster Universitario en Seguridad Informática

Aspectos legales y regulatorios

Actividad No. 2: Estudio del marco legal y normativo para la implantación de firma electrónica cualificada

Estudiante: Javier Leonardo Díaz García

Contenido
1. ACTIVIDAD PROPUESTA .................................................................................................................... 2
2. DESARROLLO................................................................................................................................... 2
2.1. Aplicaciones y casos de uso ...................................................................................................... 2
2.2. Marco normativo y legislación aplicable .................................................................................... 3
2.2.1. Organización ...................................................................................................................... 3
2.2.2. PSEC.................................................................................................................................. 3
2.3. Selección del PSEC .................................................................................................................. 4
3. WEBGRAFÍA .................................................................................................................................... 5
1. ACTIVIDAD PROPUESTA

Una organización en España pretende implantar firma electrónica en diferentes procesos de negocio y flujos
de trabajo.

Después de valorar la implantación de un sistema de certificación propio (Infraestructura de Clave Pública / PKI)
se ha optado por utilizar los servicios de un tercero de confianza (PSEC).

Se pide:

• Proponer aplicaciones y casos de uso posibles de la firma electrónica que justifican el proyecto.
• Identificar el marco legal y los requisitos legales a cumplir.
• Identificar la normativa aplicable tanto a la empresa como al PSEC justificando en dos líneas cada ley,
estándar, norma, recomendación, etc.
• Identificar un PSEC para el proyecto y un dispositivo cualificado de creación de firma (QSCD) a adquirir
para poder realizar firma cualificada.

Teniendo en cuenta que:

• Se debe considerar la normativa tras la entrada en vigor del reglamento eIDAS.


• La firma electrónica en las relaciones con terceros debe ser jurídicamente equivalente a la manuscrita.
• Se deben contemplar los formatos de certificados digitales, formatos de firma y
normativa/certificaciones de tarjetas inteligentes o tokens (QSCD).
• Contemplar también la normativa técnica de referencia para los servicios prestados por el PSEC
incluyendo la validación y el sellado de tiempo (estampado cronológico).

El trabajo se debe entregar en formato PDF firmado electrónicamente con un certificado digital emitido por
una CA / PSEC, preferentemente o, como alternativa, un ID creado en Adobe. Verificar que la firma es válida al
abrir el documento (Panel de firma de Adobe reader).

2. DESARROLLO

2.1. Aplicaciones y casos de uso

Debido a las grandes ventajas que aporta la firma electrónica en las organizaciones y el desarrollo interno de
sus procesos, se proponen los siguientes casos de uso y aplicaciones, para que su implementación sea
justificada. Vamos a suponer que la empresa se dedica al desarrollo de aplicaciones web y móviles para sus
clientes y tiene proyectos tanto en el sector público como en el sector privado:

PROCESO APLICACIÓN/CASO DE USO DESCRIPCIÓN


Aunque en España la totalidad de las empresas del sector
privado aún no se encuentran obligadas a facturar
Contabilidad Facturación electrónica
electrónicamente, esta medida permite ahorrar en costos de
papeleo, mensajería y demás recursos.
Por ley se deben conservar las facturas por periodos de
tiempo específicos según la normativa. Se puede ahorrar
Contabilidad Digitalización certificada
espacio al digitalizar estos documentos siempre y cuando se
encuentren firmados electrónicamente de manera adecuada.
Lo cual permite a la organización tener un sistema de
Firma de correos
Todos comprobación de sus correos electrónicos, minimizando así la
electrónicos
posibilidad de ser víctima de suplantación.
Ya sea con clientes o proveedores, permite asegurar que los
Contratación Firma de contratos contratos no sean modificados de ninguna manera una vez
sean firmados por ambas partes.
Comprobación de servidor Con el fin de generar un sistema de acceso remoto seguro a
I+D
seguro las aplicaciones de la organización.
Que permite al proceso de TI asegurar que la información que
Sellado electrónico de logs
TI se ha generado como evidencia para investigaciones o
y evidencias electrónicas
pruebas específicas, no sea alterada de ninguna manera.
Permite asegurar la integridad, autenticidad y autoría para
Firma de código de
I+D transmitir confianza y permitir la difusión por Internet con
programación
seguridad de que no se verá alterada.
Permite que el empleado esté seguro de los certificados de
Talento Generación de certificados vida laboral que genera la organización, además una vez
Humano de empleados generado este no puede ser modificado con fines personales
del empleado.

2.2. Marco normativo y legislación aplicable

2.2.1. Organización

ID NORMA DESCRIPCIÓN JUSTIFICACIÓN


Así la organización cumplirá con los
Reglamento (UE) N° Define los requisitos que debe cumplir una
1 estándares de la UE con respecto a
910/2014 firma electrónica avanzada.
firma electrónica.
Establece las normas que deben cumplir
Real Decreto Requerimientos para generación de
2 obligatoriamente las facturas, tanto en papel
1619/2012 facturas.
como electrónicas.
Es de utilidad para la organización,
Ley 34/2002 de la Régimen jurídico de la sociedad de servicios de con el fin de verificar que su
3 sociedad de servicios la información y de la contratación y de la prestador de servicios de firmas
de la información contratación. electrónicas está cumpliendo la
normativa.
Ley 25/2013 Define la obligatoriedad de uso de la factura
Normativas que se tienen que
Ley 9/2017 electrónica para los subcontratistas y/o
4 cumplir en caso de tener contratos
Resolución de 24 de proveedores del Estado y su correcta
con entidades públicas.
agosto de 2017 aplicación.
Cumplir normativa internacional
para brindar seguridad a
Especifica la forma digital de representar
5 ISO 32000 proveedores, clientes y empleados
documentos electrónicos.
con respecto a sus documentos
firmados digitalmente.

2.2.2. PSEC

ID NORMA DESCRIPCIÓN JUSTIFICACIÓN


Define: Ya que buscamos un PSEC que brinde
• Tipos de firmas electrónicas servicios de firma electrónica
Reglamento (UE) N°
1 • Clasificación de Prestadores de servicios cualificados, es necesario que este
910/2014
electrónicos de confianza cumpla con los requerimientos de
• Requisitos para los PSEC esta normativa.
Normas para evaluación de la seguridad de los Se debe tener en cuenta normativa
Decisión de ejecución
2 dispositivos cualificados de creación de firmas con respecto elementos como
(UE) 2016/650
electrónicas. tarjetas, tokens, etc.
Estándares desarrollados con requisitos Deben ser tenidos en cuenta para
3 Normas técnicas ETSI técnicos paras elementos y servicios poder aprobar las auditorías a las que
relacionados con firma electrónica. será sometido.
Ley de firma electrónica Verificar los elementos no derogados
4 Obligaciones y responsabilidades de los PSEC
59/2003 por el eiDAS y cumplirlos.

2.3. Selección del PSEC

Debido a que la organización requiere de servicios cualificados de firma electrónica y teniendo en cuenta la
normativa eiDAS, es necesario verificar que proveedores se encuentran registrados y evaluados por la SESTI
como tal.

Se encontró que el proveedor Lux Trust S.A. cumple con el registro de Prestador de Servicios Electrónicos
Cualificados, además cuenta con representación en España y cumple con los estándares de firma electrónica
para la UE. Debido a lo anterior, se propone como proveedor de estos servicios para la organización.
Además, el producto escogido es la “SmartCard” de este mismo Prestador:

Cómo se indica en el siguiente link, este cumple con las regulaciones relacionadas.

3. WEBGRAFÍA

- https://www.mincotur.gob.es/Publicaciones/Publicacionesperiodicas/EconomiaIndustrial/RevistaEco
nomiaIndustrial/338/08soriano338.pdf
- https://firmaelectronica.gob.es/Home/Ciudadanos.html
- https://avancedigital.gob.es/es-es/Servicios/FirmaElectronica/Paginas/Prestadores.aspx
- https://sede.minetur.gob.es/prestadores/tsl/tsl.pdf
- https://www.luxtrust.lu/en/page/201

Documento creado y firmado por:

Javier Firmado
digitalmente por
Javier Leonardo Diaz García
Por medio de Adobe Sign ID Leonard Javier Leonardo
Díaz García
o Díaz Fecha:
2019.06.05
García 18:46:46 -05'00'