e-Administración

ADMINISTRACIÓN ELECTRÓNICA. La AGE permite el uso de sistemas de firma no criptográfica

La AGE permite utilizar el sistema Cl@ve con nivel básico como firma, cuando el sistema de información asociado al procedimiento haya sido categorizado, según el ENS, de categoría básica y/o media, mediante la autenticación previa del interesado al acto de firma. El sistema conservará los datos necesarios para garantizar la adecuada trazabilidad de cada operación de firma por si fuera necesario auditar una actuación concreta.

Resolución de 20 de octubre de 2022, de la Secretaría General de Administración Digital, por la que se modifica la de 14 de julio de 2017, por la que se establecen las condiciones de uso de firma electrónica no criptográfica, en las relaciones de los interesados con los órganos administrativos de la Administración General del Estado y sus organismos públicos.

La AGE permite utilizar el sistema Cl@ve con nivel básico como firma,  mediante la autenticación previa del interesado al acto de firma, es decir, que el ciudadano se autentica dos veces, una en concepto de identificación y otra en concepto de firma, justo antes del acto de la firma.

Para evitar el repudio de la firma, el sistema conservará ciertos datos que serán sellados con un certificado de sello al que se añadirá un sello de tiempo y será almacenada, como evidencia de la verificación de la identidad previa al acto de la firma, vinculada a los datos firmados.

Si bien, uno de los escollos para autorizar estos sistemas de firma más flexibles es precisamente la necesidad de que exista un registro previo, es decir, que se solicite presencialmente ante un funcionario público (por ejemplo, un certificado, sistema Cl@ve permanente…..) sin embargo, en este caso, se ha optado por un sistema que NO requiere de registro previo, como el sistema Cl@ve pin que se basa en el intercambio de información que ambas partes conocen (DNI+fecha de validez+ pin enviado al móvil/o aplicación pin).

Además, como el origen de la Resolución es la propia Secretaría General de Administración Digital, que es la encargada de autorizar este tipo de sistemas de firma, la eficacia jurídica del sistema es inmediata, sin esperar a los dos meses desde la comunicación previstos en el artículo 10.2 c) de la Ley 39/2015 (ya informamos del cambio del sistema de autorización de los sistemas de identificación y firma por una declaración responsable + 2 meses).

 

DATOS CONSERVADOS PARA GARANTIZAR EL NO REPUDIO

La garantía de no repudio exige que el sistema de firma asegure una adecuada trazabilidad en caso de que sea necesario auditar una operación de firma concreta, para lo cual conservará, por cada firma y, por tanto, por cada proceso de autenticación, la siguiente información:

a) Fecha y hora de la autenticación.

b) Nombre y apellidos del interesado.

c) DNI/NIF/NIE del interesado.

d) Sistema de identificación empleado (certificado electrónico, Cl@ve PIN o Cl@ve Permanente) y nivel de seguridad de identificación.

e) Resultado exitoso de la autenticación.

f) Respuesta devuelta y firmada por la plataforma Cl@ve. Esta respuesta deberá incluir el campo opcional que contiene la respuesta devuelta y firmada por el Proveedor de servicios de Identificación.

g) Fecha y hora de la firma.

h) Resumen criptográfico de los datos firmados, con un algoritmo de hash que cumpla las especificaciones del esquema nacional de seguridad.

i) Referencia al justificante de firma, mediante el CSV asociado a dicho justificante.

 

MEDIDAS DE SEGURIDAD ADICIONALES

Como medida de seguridad adicional, la norma indica que “en el caso de que los datos de identificación obtenidos en la autenticación inmediatamente anterior a la firma no coincidan con los datos de identificación obtenidos en autenticaciones previas, el sistema de firma no permitirá la realización de la misma, informando de esa eventualidad al sistema de información asociado al procedimiento o servicio electrónico que requiere dicha firma”.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *