Segunda y última entrega que completa el artículo donde se recogen aspectos fundamentales sobre la firma electrónica y los puntos más relevantes del reciente Decreto-Ley que regula esta tecnología en España.
Los requisitos que enumera el artículo 8 para que un certificado sea reconocido incluyen: la indicación de que se expiden como tales; el código identificativo único del certificado; la identificación del prestador de servicios de certificación que expide el certificado (es decir, de la autoridad de certificación); la firma electrónica avanzada del prestador de servicios de certificación que expide el certificado (la firma digital de la AC que da fe de que el certificado expedido es válido); la identificación del signatario, por su nombre y apellidos o a través de un seudónimo que conste como tal de manera inequívoca (a menudo se incluyen otros datos, como su página web personal o su dirección de correo o alguna otra información relevante para el certificado); los datos de verificaci¢n de firma (es decir, la clave poblica) que correspondan a los datos de creaci¢n de firma que se encuentren bajo el control del signatario (su clave privada); el comienzo y el fin del per¡odo de validez del certificado; los l¡mites de uso del certificado, si se prev’n; los l¡mites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.
Por su parte, los art¡culos 7, 11 y 12 recogen las obligaciones exigibles a los prestadores de servicios de certificaci¢n que expidan certificados reconocidos, entre las que destacan: la comprobaci¢n de la identidad de los solicitantes de los certificados (ya que si esta verificaci¢n no se realiza rigurosamente, toda la idea de certificados y firmas digitales pierde su validez), no almacenar las claves privadas de los usuarios, informar debidamente a los solicitantes acerca de precios y condiciones de utilizaci¢n de los certificados, mantener un registro de todos los certificados emitidos y de su estado de validez, indicar la fecha y la hora en las que se expidi¢ o se dej¢ sin efecto un certificado, demostrar la fiabilidad necesaria de sus servicios, garantizar la rapidez y la seguridad en la prestaci¢n del servicio, emplear personal cualificado y con la experiencia necesaria para la prestaci¢n de los servicios ofrecidos, en el mbito de la firma electr¢nica y los procedimientos de seguridad y de gesti¢n de terceros interesados, utilizar sistemas y productos fiables protegidos contra toda alteraci¢n, tomar medidas contra la falsificaci¢n de certificados, conservar registrada toda la informaci¢n y documentaci¢n relativa a un certificado reconocido durante quince a_os, utilizar sistemas fiables para almacenar certificados.
Un p rrafo importante en el art¡culo 12 es el g), en el que se exige «disponer de los recursos econ¢micos suficientes para operar de conformidad con lo dispuesto en este Real Decreto-Ley y, en particular, para afrontar el riesgo de la responsabilidad por da_os y perjuicios. Para ello habr n de garantizar su responsabilidad frente a los usuarios de sus servicios y terceros afectados por ‘stos. La garant¡a a constituir podr consistir en un afianzamiento mercantil prestado por una entidad de cr’dito o en un seguro de cauci¢n. Inicialmente, la garant¡a cubrir , al menos, el 4 por 100 de la suma de los importes l¡mite de las transacciones en que puedan emplearse el conjunto de los certificados que emita cada prestador de servicios de certificaci¢n. Teniendo en cuenta la evoluci¢n del mercado, el Gobierno, por Real Decreto, podr reducir el citado porcentaje hasta el 2 por 100. En caso de que no se limite el importe de las transacciones en las que puedan emplearse al conjunto de los certificados que emita el prestador de servicios de certificaci¢n, la garant¡a a constituir cubrir , al menos, su responsabilidad por un importe de 1.000.000.000 de pesetas (6.010.121,04 euros). El Gobierno, por Real Decreto, podr modificar el referido importe».
Este art¡culo define claramente la responsabilidad civil de los prestadores de servicios de certificaci¢n, hasta ahora muy imprecisa, y por lo tanto elemento que retra¡a su despliegue. Los usuarios de certificados y de firmas digitales saben as¡ (es deber del PSC informarles) a qu’ atenerse en caso de que existan irregularidades con sus firmas, de las cuales se demuestre la responsabilidad del PSC, bien por negligencia, bien por algon fallo de seguridad o t’cnico en sus equipos.
Se incorpora adem s una novedad en el texto, para permitir que la certificaci¢n pueda recoger la fecha y la hora en la que se produce la actividad certificante. Pi’nsese que, en muchas situaciones, el mero hecho de saber que un documento fue firmado no es suficiente, ya que se necesita poseer constancia de la fecha y hora de la firma. Esta circunstancia se vuelve especialmente evidente en el caso de que un certificado haya sido revocado, para saber si un documento fue firmado antes o despu’s de la inutilizaci¢n del certificado del signatario.
Tambi’n se presta especial atenci¢n a los datos personales de los solicitantes de certificados manipulados por los PSC, que se sujetan a lo dispuesto en la LORTAD y en las disposiciones dictadas en su desarrollo.
Resumiendo, la firma electr¢nica proporciona un abanico importante de servicios, como autenticaci¢n, integridad, no repudio, auditabilidad, que dotan a los documentos electr¢nicos as¡ firmados de una validez legal y responsabilidad civil equivalentes a las de la firma manuscrita sobre documentos en papel. Las consecuencias de la r pida adopci¢n de la inminente reglamentaci¢n en materia de firma electr¢nica ser n la dinamizaci¢n del comercio electr¢nico y agilizaci¢n de las transacciones financieras y de todo tipo. Se prev’ que este Decreto-Ley se transforme en otro agente impulsor del desarrollo de la sociedad de la informaci¢n, en la medida en que contribuye a fomentar la adopci¢n de t’cnicas digitales y de tecnolog¡as de la informaci¢n y comunicaciones en sustituci¢n de las anticuadas y lentas gestiones rellenando formularios, albaranes, contratos en papel y dem s procesos que hasta el momento se ven¡an haciendo de forma manual con medios f¡sicos.
Los retos inmediatos a que se enfrenta Espa_a son la creaci¢n de una estructura de certificaci¢n s¢lida, mediante la progresiva consolidaci¢n de los PSC existentes y exploraci¢n de nuevos rboles de certificaci¢n. Por otro lado, las empresas deben recoger el testigo y familiarizarse con las tecnolog¡as de PKI y certificados digitales para aumentar la seguridad global de sus negocios y dar el paso hacia la gesti¢n digital de su burocracia interna, con otras empresas y con la Administraci¢n. Se trata de un esfuerzo comon, en el que todos tomamos parte. La aceptaci¢n social y cobertura legal de las firmas electr¢nicas pavimentar sin duda la carretera hacia la nueva revoluci¢n de la informaci¢n.
M s informaci¢n:
Texto completo del Decreto-Ley en:
http://www.iec.csic.es/criptonomicon/susurros/decretoley.pdf
Gonzalo -lvarez Mara_¢n
mailto:criptonomicon@iec.csic.es
Bolet¡n Criptonomic¢n #56 http://www.iec.csic.es/criptonomicon
