EIDAS 2014/0910 ES

1. Al expedir un certificado cualificado para un servicio_de_confianza, un prestador_cualificado_de_servicios_de_confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador_de_servicios_de_confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional:

a)	en presencia de la persona física o de un representante autorizado de la persona jurídica, o

a distancia, utilizando medios de identificación_electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c)	por medio de un certificado de una firma_electrónica cualificada o de un sello_electrónico cualificado expedido de conformidad con la letra a) o b), o

d)	utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

2. Los prestadores cualificados de servicios de confianza que prestan servicios de confianza cualificados:

a)	informarán al organismo de supervisión de cualquier cambio en la prestación de servicios de confianza cualificados, y de su intención de cesar tales actividades;

contarán con personal y, si procede, con subcontratistas, que posean los conocimientos especializados, la fiabilidad, la experiencia y las cualificaciones necesarios y hayan recibido la formación adecuada en materia de seguridad y normas de protección de datos personales y que apliquen procedimientos administrativos y de gestión que correspondan a normas europeas o internacionales;

c)	con respecto al riesgo de la responsabilidad por daños y perjuicios de conformidad con el artículo 13, mantendrán recursos financieros suficientes u obtendrán pólizas de seguros de responsabilidad adecuadas, de conformidad con la legislación nacional;

d)	antes de entrar en una relación contractual, informarán, de manera clara y comprensible, a cualquier persona que desee utilizar un servicio_de_confianza cualificado acerca de las condiciones precisas relativas a la utilización de dicho servicio, incluidas las limitaciones de su utilización;

e)	utilizarán sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad y la fiabilidad técnicas de los procesos que sustentan;

utilizarán sistemas fiables para almacenar los datos que se les faciliten de forma verificable, de modo que:

i)	estén a disposición del público para su recuperación solo cuando se haya obtenido el consentimiento de la persona a la que corresponden los datos,

ii)	solo personas autorizadas puedan hacer anotaciones y modificaciones en los datos almacenados,

iii)	pueda comprobarse la autenticidad de los datos;

g)	tomarán medidas adecuadas contra la falsificación y el robo de datos;

registrarán y mantendrán accesible durante un período de tiempo apropiado, incluso cuando hayan cesado las actividades del prestador_cualificado_de_servicios_de_confianza, toda la información pertinente referente a los datos expedidos y recibidos por el prestador_cualificado_de_servicios_de_confianza, en particular al objeto de que sirvan de prueba en los procedimientos legales y para garantizar la continuidad del servicio. Esta actividad de registro podrá realizarse por medios electrónicos;

i)	contarán con un plan de cese actualizado para garantizar la continuidad del servicio, de conformidad con las disposiciones verificadas por el organismo de supervisión con arreglo al artículo 17, apartado 4, letra i);

j)	garantizarán un tratamiento lícito de los datos personales de conformidad con la Directiva 95/46/CE;

k)	en caso de los prestadores cualificados de servicios de confianza que expidan certificados cualificados, establecerán y mantendrán actualizada una base de datos de certificados.

3. Cuando los prestadores cualificados de servicios de confianza que expidan certificados cualificados decidan revocar un certificado, registrarán su revocación en su base de datos de certificados y publicarán el estado de revocación del certificado oportunamente y, en todo caso, en un plazo de 24 horas después de la recepción de la solicitud. La revocación será efectiva inmediatamente después de su publicación.

4. Con respecto a lo dispuesto en el apartado 3, los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte_usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.

5. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas para sistemas y productos fiables que cumplan con los requisitos establecidos las letras e) y f) del apartado 2 del presente artículo. Se presumirá el cumplimiento de los requisitos establecidos en el presente artículo cuando los sistemas y productos fiables cumplan dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

SECCIÓN 4

Firma electrónica

Artículo 27

Firmas electrónicas en servicios públicos

1. Si un Estado miembro requiere una firma_electrónica avanzada con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas, las firmas electrónicas avanzadas basadas en un certificado cualificado de firma_electrónica y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2. Si un Estado miembro requiere una firma_electrónica avanzada basada en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá las firmas electrónicas avanzadas basadas en un certificado cualificado y las firmas electrónicas cualificadas por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3. Los Estados miembros no exigirán para la utilización transfronteriza de un servicio en línea ofrecido por un organismo_del_sector_público una firma_electrónica cuyo nivel de garantía de la seguridad sea superior al de una firma_electrónica cualificada.

4. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a firmas electrónicas avanzadas. Se presumirá el cumplimiento de los requisitos de las firmas electrónicas avanzadas mencionadas en los apartados 1 y 2 del presente artículo y en el artículo 26 cuando una firma_electrónica avanzada se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5. A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas, normas y actos jurídicos de la Unión existentes, la Comisión, mediante actos de ejecución, definirá los formatos de referencia de las firmas electrónicas avanzadas o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 37

Sellos electrónicos en servicios públicos

1. Si un Estado miembro requiere un sello_electrónico avanzado con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados, los sellos electrónicos avanzados basados en un certificado reconocido de sellos electrónicos y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

2. Si un Estado miembro requiere un sello_electrónico avanzado basado en un certificado cualificado con el fin de utilizar un servicio en línea ofrecido por un organismo_del_sector_público, o en nombre del mismo, dicho Estado miembro reconocerá los sellos electrónicos avanzados basados en un certificado cualificado y los sellos electrónicos cualificados por lo menos en los formatos o con los métodos definidos en los actos de ejecución contemplados en el apartado 5.

3. Los Estados miembros no exigirán, para el uso transfronterizo en un servicio en línea ofrecido por un organismo_del_sector_público, un sello_electrónico cuyo nivel de seguridad sea superior al de un sello_electrónico cualificado.

4. La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los sellos electrónicos avanzados. Se presumirá el cumplimiento de los requisitos de los sellos electrónicos avanzados mencionados en los apartados 1 y 2 del presente artículo y en el artículo 36 cuando un sello_electrónico avanzado se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

5. A más tardar el 18 de septiembre de 2015, y teniendo en cuenta las prácticas existentes, las normas y actos jurídicos de la Unión, la Comisión adoptará actos de ejecución que definan los formatos de referencia de los sellos electrónicos avanzados o métodos de referencia cuando se utilicen formatos alternativos. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

whereas

(55) La certificación de seguridad TI basada en normas internacionales (como ISO 15408 y métodos relacionados de evaluación y acuerdos de reconocimiento mutuo) es un importante instrumento para verificar la seguridad de dispositivos cualificados de creación de firmas electrónicas y debe fomentarse.
Con todo, las soluciones y servicios innovadores (como la firma móvil, la firma en nube, etc.) se basan en soluciones técnicas y organizativas de dispositivos cualificados de creación de firmas electrónicas para las que puede no disponerse todavía de normas de seguridad o para las que puede estar en curso la primera certificación de seguridad TI.
El nivel de seguridad de dichos dispositivos cualificados de creación de firmas electrónicas debe poder evaluarse mediante procesos alternativos únicamente cuando no se disponga todavía de normas de seguridad o para las que pueda estar en curso la primera certificación de seguridad TI.
Dichos procesos deben ser comparables con las normas de certificación de seguridad TI en la medida en que sean equivalentes los niveles de seguridad.
Estos procesos podrán facilitarse mediante un examen por homólogos.

- = -

(62) Con el fin de garantizar la seguridad de los sellos cualificados de tiempo electrónicos, el presente Reglamento debe requerir el empleo del sello_electrónico avanzado o la firma_electrónica avanzada, o de otros métodos equivalentes.
Cabe esperar que la innovación dé lugar a nuevas tecnologías que garanticen un nivel de seguridad equivalente de los sellos de tiempo.
Siempre que se emplee otro método que no sea el sello de tiempo avanzado ni la firma_electrónica avanzada, debe corresponder al prestador_cualificado_de_servicios_de_confianza demostrar, en el informe de evaluación de la conformidad, que dicho método garantiza un nivel de seguridad equivalente y cumple con las obligaciones establecidas en el presente Reglamento.

- = -

(67) Los servicios de autenticación de sitios web proporcionan un medio por el que puede garantizarse a la persona que visita un sitio web que existe una entidad auténtica y legítima que respalda la existencia del sitio web.
Estos servicios contribuyen a crear confianza y fe en la realización de operaciones mercantiles en línea, dado que los usuarios se fiarán de un sitio web que haya sido autenticado.
La prestación y la utilización de servicios de autenticación de sitios web son totalmente voluntarias.
No obstante, para que la autenticación de sitios web se convierta en un medio de potenciar la confianza, proporcionar al usuario una experiencia mejor y propiciar el crecimiento en el mercado interior, el presente Reglamento debe establecer obligaciones mínimas de seguridad y responsabilidad para los prestadores y los servicios que prestan.
A tal efecto, se han tenido en cuenta los resultados de las iniciativas punteras lideradas por el sector (por ejemplo el foro de autoridades de certificación y navegadores-CA/B Forum).
Además, el presente Reglamento no debe oponerse a la utilización de otros medios o métodos de autenticación de un sitio web que no estén regulados por el presente Reglamento, ni impedir que prestadores de autenticación de sitios web de terceros países presten sus servicios a clientes situados en la Unión.
Ahora bien, los servicios de autenticación de sitios web de un prestador de un tercer país solamente se reconocerán como servicios cualificados de conformidad con el presente Reglamento en caso de que se haya celebrado un acuerdo internacional al respecto entre la Unión y el país de establecimiento del prestador.

- = -

keyboard_tab EIDAS 2014/0910 ES

EIDAS 2014/0910 ES