Reglamento eIDAS

Mejorar la confianza en las transacciones digitales en el mercado europeo.

¿Qué es el reglamento eIDAS (electronic identification and trust services)?

En el creciente mundo digital, la confianza es esencial para promover los intercambios y ahora están surgiendo muchas reglamentaciones para asegurarlos.

El Reglamento eIDAS tiene como objetivo aumentar la confianza en las transacciones electrónicas dentro del mercado interior. La reglamentación se aplica a la identificación electrónica, los servicios fiduciarios y los documentos electrónicos. Su objetivo es establecer un marco de interoperabilidad para los diferentes sistemas establecidos en los Estados Miembros a fin de promover el desarrollo de un mercado de confianza digital.

El Reglamento eIDAS sustituye a la Directiva 1999/93/CE, cuyo ámbito de aplicación se limitaba a las firmas electrónicas. En vigor desde julio de 2016, el eIDAS tiene por objeto establecer una base común para las interacciones electrónicas seguras entre los ciudadanos, las empresas y las autoridades públicas.

Reglamento eIDAS: ¿cuáles son los niveles de seguridad en relación con la firma electrónica?

El Reglamento eIDAS normaliza las transacciones electrónicas dentro de los Estados miembros proporcionando tres niveles de fiabilidad y garantía con respecto a la firma electrónica:

La firma electrónica simple: permite la autenticación de documentos que presentan un riesgo evaluado como bajo o medio (contrato de seguro, cuenta de gastos, suscripción a un servicio, etc.).
La firma electrónica avanzada: ofrece el mismo nivel de fiabilidad y garantía que la firma simple, pero mejora el nivel de confianza integrando una verificación sistemática de la identidad del firmante…[1].
Firma electrónica reconocida: permite la autenticación de documentos de alto riesgo (facturas, respuestas a convocatorias de contratación pública, validaciones bancarias B2B, etc.). El dispositivo utilizado para firmar o el proceso a distancia debe ofrecer las mismas garantías que las existentes para una firma cara a cara.

El Reglamento eIDAS también introdujo un cuarto tipo de firma: un «sello digital». Reservado a las entidades jurídicas, garantiza el origen y la integridad de los datos asociados. Para más información sobre nuestro servicio de firma electrónica conforme a eIDAS, por favor visite Check’Sign.

Reglamento eIDAS: ¿cuáles son los niveles de seguridad en materia de identificación?

En cuanto a los sistemas de identificación, el eIDAS define tres niveles de garantía:

El nivel «bajo»: menor riesgo de usurpación, pero un nivel de confianza limitado: un identificador y una contraseña son suficientes.
El nivel «sustancial»: mejora de la postura de riesgo; el firmante debe tener un documento de identidad expedido por un Estado miembro y demostrar su posesión y pertenencia.
El nivel «alto»: reducción total del riesgo de fraude; este nivel requiere la verificación de que la persona está en posesión de un elemento de identificación biométrico o fotográfico reconocido por el Estado miembro en el que se presenta la solicitud de identidad electrónica y que este elemento corresponde a la identidad alegada.

¿Qué empresas están afectadas por el Reglamento eIDAS?

El reglamento eIDAS se refiere principalmente a los organismos del sector público y a los proveedores de servicios de confianza establecidos en el territorio de la Unión Europea. Permite controlar los servicios ofrecidos por proveedores de servicios de confianza y garantizar la seguridad de las transacciones entre los usuarios, los proveedores y las autoridades administrativas.

Si su empresa utiliza una firma electrónica o una solución de verificación de identidad[1] , entonces el Reglamento eIDAS tiene un impacto directo sobre usted. Para garantizar la validez legal de sus procesos de CSC o de firma electrónica, debe asegurarse de que la solución que utiliza cumple los requisitos del Reglamento eIDAS, es decir, que el proveedor de servicios de confianza que ha elegido cuenta con todas las aprobaciones pertinentes.

¿Cuáles son los requisitos del Reglamento eIDAS?

El reglamento eIDAS establece obligaciones para todos los proveedores de servicios fiduciarios o autoridades de certificación, estén o no cualificados. En particular, bajo sanciones establecidas por los Estados miembros, deben:

procesar datos personales (derogado por el Reglamento General de Protección de Datos)
hacer accesibles a las personas con discapacidad, en la medida de lo posible, sus servicios de confianza y los productos utilizados para prestar esos servicios y destinados a un usuario final
tomar las medidas técnicas y organizativas adecuadas para gestionar los riesgos de seguridad de los servicios prestados
notificará al órgano de supervisión (y, en caso de perjuicio, a la persona física o jurídica interesada) toda infracción de la seguridad o pérdida de integridad que tenga repercusiones importantes en el servicio de confianza prestado o en los datos personales almacenados en él.

Los proveedores de servicios fiduciarios serán responsables de los daños causados intencionalmente o por negligencia a cualquier persona física o jurídica como resultado del incumplimiento de sus obligaciones. La parte que reclame tales daños ha de ser el responsable de probar la intención o la negligencia de un proveedor de servicios de confianza no cualificado.

¿Cómo cumplen nuestros servicios IDCheck.io con la normativa eIDAS?

ARIADNEXT está reconocido como proveedor de servicios fiduciarios de acuerdo con el artículo 3(19) del Reglamento eiDAS. La conformidad de nuestros servicios es evaluada regularmente por un organismo reconocido por la ANSSI y las certificaciones obtenidas están a disposición del público.

Nuestras soluciones de firma electrónica Check’nSign cumplen con la normativa eIDAS a nivel de LCP (ETSI EN 319 411-1).

Nuestras soluciones de verification de identidad están siendo evaluadas por los servicios de la ANSSI para un nivel de garantía sustancial.