Seguridad informática. La iniciativa europea para la normalización de la firma electrónica
| Autor | Ana Isabel González-Tablas Ferreres |
| Cargo | Grupo de Seguridad de las TI. |
| Páginas | 91-102 |
-
Introducción
Hace tres años, el 13 de diciembre de 1999, se aprobó la Directiva 1999/93/CE [CE 1999/93] del Parlamento Europeo y del Consejo, que se publicó en el Diario Oficial de las Comunidades Europeas a fecha de 19 de enero del año 2000. Esta Directiva proporciona un marco comunitario para la firma electrónica con el objetivo principal de proveerla de una validez legal equivalente a la firma manuscrita. El marco se establece mediante la identificación de los requisitos mínimos que deben cumplir los certificados digitales, los prestadores[2] de servicios de certificación (en adelante PSC), y los dispositivos de creación y verificación de firma electrónica.
Tras ello, la Comisión Europea solicitó a los organismos de normalización europeos un análisis de cuáles eran las actividades de normalización necesarias para soportar los requisitos legales establecidos en la Directiva. Este análisis ha derivado en un ambicioso programa de trabajo cuya materialización responderá a las necesidades del mercado, proporcionando las ventajas de una firma electrónica reconocida legalmente que sirva de base al desarrollo de escenarios abiertos de comercio electrónico.
Aunque ya existían varias iniciativas de normalización en esta área bajo los auspicios de organismos de normalización y foros industriales a niveles nacional, regional e internacional, aquellas iniciativas no tenían la suficiente consistencia y coherencia para obtener validez y reconocimiento entre ellas. Para remediar esta situación, el Consejo de Normalización Europeo ICT[3], apoyado por la Comisión Europea, lanzó una nueva iniciativa para reunir a industria, administración, expertos y otros participantes del mercado. Dicha iniciativa es la denominada Iniciativa Europea para la Normalización de la Firma Electrónica, comúnmente conocida por sus siglas: EESSI. II. La Directiva 1999/93/CE
Sucintamente, los aspectos principales que consagra la Directiva son los siguientes:
- Reconocimiento legal de la firma electrónica.
- Neutralidad tecnológica.
- Establecimiento del libre flujo de productos y servicios de firma.
- Eliminación de autorización o licencia previa para los PSC.
- Obligación de implementar sistemas de supervisión adecuados para los PSC.
- Sistemas de acreditación voluntaria de los PSC.
La Directiva, así mismo, contiene cuatro interesantes anexos en los que se definen diversos requisitos y recomendaciones. Concretamente, estos anexos llevan por título:
- Anexo I: Requisitos de los certificados reconocidos.
- Anexo II: Requisitos de los PSC que expiden certificados reconocidos
- Anexo III: Requisitos de los dispositivos seguros de creación de firma electrónica.
- Anexo IV: Recomendaciones para la verificación segura de firmas. III. Misión de la EESSI
Tomando como base lo anterior, la EESSI se fijó los tres objetivos a cumplir que se presentan a continuación. El primero de ellos, analizar las necesidades de estandarización para soportar los requisitos mínimos legales establecidos en la Directiva; el segundo, evaluar los estándares disponibles e iniciativas ya existentes en los planos nacional, europeo e internacional, y finalmente, el tercero (basándose en los resultados de los dos anteriores), establecer e implementar un plan de normalización basado en la cooperación internacional.
Para cumplir estos objetivos la EESSI estableció un plan de normalización estructurado en cuatro fases:
- Fase 1 (completada en el tercer trimestre de 1999) de definición del programa de trabajo que se desarrollará en el resto de las fases.
- Fase 2 (finalizada en el segundo trimestre del 2002) de establecimiento de los requisitos esenciales para el cumplimiento de la Directiva.
- Fase 3 (de conclusión prevista a finales del 2002) de definición de los requisitos para las diferentes clases de firma electrónica.
- Fase 4 (a desarrollar en el período 20022003) de estudio de los requisitos adicionales a los establecidos en las fases previas. IV. Primeros resultados de la EESSI
En julio de 1999, como resultado de la primera fase del plan de normalización, la EESSI entregó un informe final [EESSI99] que contenía una visión de los requisitos para las actividades de normalización y un detallado programa de trabajo para satisfacerlos. Se identificaron tres áreas cruciales en las actividades de normalización. La primera consideraba la especificación y desarrollo de los estándares funcionales y de calidad para...
Para continuar leyendo
Solicita tu prueba