VISION OF THE SPANISH REGULATORY AND SUPERVISORY BODY

Transcripción

1 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información VISION OF THE SPANISH REGULATORY AND SUPERVISORY BODY Rafael Pérez Galindo rperezga@minetur.es Subdirección General de Servicios de la Sociedad de la Información Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información

2 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información COMPETENCES 1. TSL building (CD 2009/767/EC). 2. TSP supervision (Q and non-q). 3. eid and TS regulation: Law 59/2003, Directive 1999/93/EC eidas Regulation.

3 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información TSL Legal framework: CD 767/2009, amended by CD 2010/425/EU and CD 2013/662/EU. First Spanish TSL: June HR: PDF/A PAdES: MP XML XAdES: Technical specification: ETSI TS Tasks: Establish, maintain, sign, publish, notify links and certs. EC: List of Trusted Lists (LoTL):

4 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información TSL Spanish TSL: only CSP issuing Qc. Second MS with more TSP!! Effects of the new Regulation: Transition from CSP issuing Qc to QTSP providing TS. Expected increase in the number of QTSP providing new QTS? Transition from mere notification to mandatory prior authorization.

5 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información Supervision and control Current Law 59/2003: Supervision of TSP issuing e-certificates (Qc and non-qc). Methodology: based on standards (ETSI , CWA 14167). Penalties up to euros and measures as suspension. New Regulation: Supervision of QTSP but monitoring of non-q TSP. Analyse the conformity assessment reports: submitted by QTSP, every 24 months, audited by an accredited conformity assessment body.

6 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información Supervision and control Inform other SB and the public of security breaches. Carry out audits or request a conformity assessment body to perform a conformity assessment of QTSP. Grant and withdraw the qualified status to TSP. Require that TSP remedy any failure. Penalties: left to national legislation. Report to the Commission and ENISA. Notify the EC the body who grants certification of QSCD. Notify the EC the eid schemes subject to mutual recognition.

7 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información Legislative process: 2 years, 4 Presidencies, 28 MS. Commission + Council (43 WP Telecom&IS sessions) + EP Main targets: eid: person identification data in electronic form uniquely representing a person. Reciprocity principle, but no mandatory recognition of low assurance level eid schemes. Supervision remains at national level. No supervision of non-qtsp. eidas Regulation Qc additional attributes: unique identifiers (national purposes). Mandatory certification of QSCD. eseals: based on experience in Qc for legal person.

8 Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información Subdirección General de Servicios de Sociedad de la Información eidas Regulation Market expectations Arising from the Commission first draft (June 2012). Recognition of all QTS listed in TSL (already in Directive for Qc!). New qualified TS: eseal, etimestamp, edelivery, Website auth Seamless provision of transborder services. Remote and mobile signature. Secondary legislation: Implementing and delegated acts. eidas Expert Group set up: eid issues: ID data, interop, STORK. Transitional measures: SSCD considered as QSCD, Qc ( reconocido ) considered as Qc ( cualificado ), CSP issuing Qc considered as QTSP but report to be sent in 12 months to SB. Timeline: Directive repealed as of 1 July 2016! Mutual eid recognition as of 2018.

9 Plataforma de Identificación, Autenticación y Firma

10 Dirección del proyecto Proyecto impulsado por la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado. Alineado con las medidas impulsadas por el Gobierno a raiz del informe CORA (Comisión para la Reforma de las Administraciones Públicas)

11 Objetivos del proyecto Dotar a las Administraciones Públicas de una infraestructura común que proporcione medios para la autenticación y firma electrónica de los ciudadanos. Acercar la administración electrónica a los ciudadanos, facilitando su uso y manteniendo la homogeneidad en su relación con las Administraciones Públicas Flexibilizar el acceso, permitiendo diversos niveles de seguridad en la autenticación, adecuados a las necesidades de los distintos servicios ofertados. Uso de Federación

12 Objetivos del proyecto Ofrecer a los ciudadanos un sistema de firma centralizada, basada en certificados personales custodiados en servidor (DNI en la nube). UE Acorde con los estándares internacionales y normas europeas. El objetivo final es que las firmas realizadas con DNI n puedan ser consideradas como firmas reconocidas. Integración con STORK

13 Alcance del proyecto Todo tipo de trámites administrativos electrónicos que requieran autenticación y/o firma, limitado a personas físicas. Administración General del Estado Ciudadanos Españoles y extranjeros con NIE

14 Administraciones participantes Agencia Tributaria (AEAT) Gestión del Registro de usuarios del sistema. Autenticación PIN24H. Dirección General de la Policía (DGP) Emisión de certificados centralizados (PKI del DNI). Custodia de las claves privadas. Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica (DGMAPIAE) Pasarela de autenticación. Pasarela de Firma. Gerencia de Informática de la Seguridad Social (GISS) Autenticación usuario y contraseña (+SMS). Proceso de firma centralizada.

15 Otras características Registro de usuarios presencial o telemático con certificado digital. Firma de contrato y entrega del código de activación. Activación de usuarios mediante el código de activación y código de un solo uso (OTP One Time Password) enviado por SMS. Autenticación basada en usuario, contraseña y SMS (OTP) delegada en Proveedores de Identidad que permiten federación El uso de la federación permitirá a corto plazo la entrada única a las aplicaciones (SSO Single Sign On)

16 Firma en la nube Los certificados de los ciudadanos están en un servidor centralizado custodiados con fuertes medidas de seguridad. Para acceder a ellos el titular necesita autenticar con usuario y contraseña e introducir una código de un solo uso enviada por teléfono (autenticación de doble factor). La firma se realiza en el servidor y no en el equipo del usuario. El ciudadano no tiene que preocuparse de la gestión de los certificados y puede firmar desde cualquier dispositivo. CIUDADANO ADMINISTRACIÓN

17 Gracias por su atención

18 Plataforma de Identificación, Autenticación y Firma

19 Cluster 1: Identificación

20 Proveedores de Identidad (IdP) Proveedores de servicios (SP) SP: Servicio de administración electrónica IdP: verifican identidad del ciudadano y la comunican al Datos de identidad (Nombre/Apellidos y nºdni) en el certificado. Cl@ve: Proxy de IdP: PIN24H de la AEAT Usuario/Contraseña (+OTP) de la Stork

21 Federación de identidades: Basado en SAML y STORK Comunicación mediante redirecciones del navegador (aserciones SAML) STORK Intermediador de eid extranjeros IdP IdP Servicio de e Admon Gestor de identidades Cl@ve AEAT Proveedores de identidad (IdP) Proveedor del servicio Intermediador identidades basadas en DNIe y certificados IdP IdP GISS Comunicación mediante redirecciones del navegador (aserciones SAML)

22 Niveles

23 Niveles Registro Presencial Con certificado reconocido No presencial El ciudadano firma un acepto Nivel de calidad de la credencial (QAA) en base a análisis ENS Basados en el QAA de STORK

24 Con interacción con el usuario Sin interacción con el usuario Interacción con el usuario 2 1 SP Portal Ae Identificarse 3 5 Cl@ve DNIe / Certificado Usuario/Contraseñ a STORK Cl@ve PIN24H Navegador del usuario 4 IdP IdP Usuario Pwd Mensajes SAML 2 Servicio que invoca (SP), nivel de calidad de eid exigido, firmado por SP 3 Servicio que invoca (SP), nivel de calidad de eid, firmado por Cl@ve 4 Respuesta de la identificación, firmada por IdP 5 Respuesta de la identificación, firmada por Cl@ve

25 Integración de en las Sedes Electrónicas Acceso con

26 Aspecto del intermediador PIN24H CONTRASEÑA CERTIFICADO ELECTRÓNICO SOY CIUDADANO EUROPEO

27 Ejemplo de control de acceso con PIN24H Si el ciudadano ya tiene un PIN24H puede autenticarse directamente 3. El ciudadano selecciona el proveedor de identidad (PIN24H) que quiere utilizar

28 Ejemplo de control de acceso con PIN24H Usuario autenticado 4. Si la validación del PIN24H es correcta el ciudadano es redirigido a la Sede de Muface (proveedor de servicios) autenticado y con acceso al servicio solicitado

29 Ejemplos de uso de Cluster 2: Servicios de confianza: Firma

30 Niveles

31 Validación de las firmas VA: Con certificados:» En software = firma avanzada» En tarjeta (SSCD =firma reconocida)» No reconocidos (se indica en la respuesta) Con certificados extranjeros (si están en las TSL) Con certificados en la nube. Certificados de persona física y jurídica (Sello, legal person) Formatos de firma acordes a la normativa europea. Decisión 2011/130 => Decisión 2014/148

32 Realización de firma El ciudadano elige el dispositivo. Neutralidad tecnológica. Firmas en PC: con miniapplet o aplicación local (sin applets) Windows Linux MAC Firmas en móvil: con APP local: Cliente Movil Android ios Windows Firmas en la nube: desde el navegador (sin applets)

33 Gracias por su atención