Archive for the EIDAS Category

Los prestadores de servicios de confianza deben evaluarse cada 2 años

Posted in Auditoría, EIDAS, Evaluación, TCAB | No Comments »

Según la normativa eIdAS (Reglamento UE 910/2014) los PSEC (Prestadores de Servicios Electrónicos de Confianza) deben auditar sus sistemas e instalaciones cada 2 años.

Para ello recurren a entidades de evaluación de conformidad (en inglés «Conformity Assessment Bodies») acreditadas ante alguna de las entidades de acreditación competentes (de las que existe una por país).

A continuación se recoge la lista de organismos de evaluación de conformidad ya operativos y que cumplen lo dispuesto  en el punto 18 del artículo 3 del Reglamento eIDAS (UE) 910/2014. También se incluye la entidad de acreditación que ha otorgado el sello a cada «Conformity Assessment Body».

La lista ofrece la información disponible a la fecha, y no tiene en cuenta las entidades de evaluación de conformidad que en estos momentos se encuentren en proceso de acreditación.

Esta lista se actualizará según esté disponible la información proporcionada por los Organismos Nacionales de Acreditación de los Estados Miembros.

Si detecta un error, indíquelo por favor, al objeto de proceder a su subsanación.

Lista de organismos de evaluación de la conformidad definidos en el punto 13 del artículo 2 del Reglamento (CE) nº 765/2008 y acreditados como competentes para llevar a cabo las evaluaciones de conformidad de prestadores de servicios electrónicos de confianza cualificados y de los servicios de confianza que prestan, según lo dispuesto en el Reglamento eIDAS (UE) 910/2014

AUSTRIA (AT)

  • Name: AA (Akkreditierung Austria)
  • URL to body: www.bmwfw.gv.at/akkreditierung
  • Contact email: akkreditierung@bmwfw.gv.at
  • URL to eIDAS accreditation scheme:

Conformity Assessment Body

  • Name: Zentrum für sichere Informationstechnologie – Austria (A-SIT)
  • URL to body: www.a-sit.at
  • Date of accreditation: 21.12.2016
  • URL to accreditation certificate: https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/product%20certification%20bodies.pdf
  • ‘de’ BMWFW-92.321/0180-I/12/2016 A-SIT_17065 (listed as Nr 23) ‘de’
  • Scope of accreditation:  https://www.bmwfw.gv.at/TechnikUndVermessung/Akkreditierung/Documents/AA_0929_17065_A-SIT.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS:

CZECH REPUBLIC (CZ)

  • Name: CAI (Czech Accreditation Institute)
  • URL to body: www.cai.cz
  • Contact email: mail@cai.cz
  • URL to eIDAS accreditation scheme:

Conformity Assessment Bodies

  • Name: Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • URL to body: www.ezu.cz
  • Date of accreditation: 20.01.2017 (until 08.11.2018)
  • URL to accreditation certificate: ‘cz’ Certificate No .: 42/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
    • Qualified preservation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: http://ezu.cz/en/about-us/valid-certificates/

 

  • Name: Tayllor & Cox s.r.o.
  • Registration number: –
  • URL to body: https://www.tayllorcox.com
  • Date of accreditation: 06.02.2017 (until 06.02.2020)
  • URL to accreditation certificate: ‘cz’ Certificate No.: 67/2017
  • QTSP/QTS type(s) for which accreditation is granted:
    • The issuance of qualified electronic certificates for electronic signatures
    • The issuance of qualified electronic certificates for electronic seals
    • The issuance of qualified electronic certificates for websites authentication
    • The issuance of qualified electronic timestamps
    • Qualified validation of qualified electronic signatures and/or qualified electronic seals
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme:
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.tayllorcox.com/en/certification

GERMANY (DE)

  • Name: DAkkS (Deutsche Akkreditierungsstelle GmbH)
  • URL to body: www.dakks.de
  • Contact email: contact@dakks.de
  • URL to eIDAS accreditation scheme: –

Conformity Assessment Bodies

  • Name: datenschutz cert GmbH
  • URL to body: https://www.datenschutz-cert.de/
  • Date of accreditation: 28.07.2016 (until 27.07.2021)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-16077-01-00.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.datenschutz-cert.de/zertifikatsliste/zertifikate/produkt-bestaetigung-sigg.html

 

  • Name: T-Systems International GmbH
  • URL to body: http://www.t-systems-zert.com/service/ser_impressum_e.html
  • Date of accreditation: 29.06.2016 (until 28.06.2021)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-12025-01-00.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: http://www.t-systems-zert.com/service/ser_service_e.html#cps
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.t-systems-zert.com/einzelne/ein_05_zer_gesch_e.html

 

  • Name: TÜV Informationstechnik GmbH
  • URL to body: https://www.tuvit.de/en/index.htm
  • Date of accreditation: 24.06.2016 (until 17.07.2018)
  • URL to accreditation certificate: ‘de’ http://www.dakks.de/as/ast/d/D-ZE-12022-01-01.pdf
  • QTSP/QTS type(s) for which accreditation is granted: All
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.tuvit.de/en/certification-overview-1265-4512.htm

ITALY (IT)

  • Name: ACCREDIA (Ente Italiano di Accreditamento)
  • URL to body: www.accredia.it
  • Contact email: trifil@accredia.it
  • URL to eIDAS accreditation scheme: Circolare DC N° 17/2016 (PRD) http://www.accredia.it/extsearch_documentazione.jsp?area=55&ID_LINK=331&page=87&IDCTX=5149&id_context=5149

 

Conformity Assessment Bodies

  • Name: BUREAU VERITAS Italia S.p.A.
  • URL to body: http://www.bureauveritas.it
  • Date of accreditation: 21.07.2016 (until 24.05.2019)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.009B
  • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
    • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.bureauveritas.it/home/clients/registro+aziende+certificate

 

  • Name: CSQA Certificazioni srl
  • URL to body: http://www.csqa.it/
  • Date of accreditation: 28.06.2016 (until 30.03.2018)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.014B
  • QTSP/QTS type(s) for which accreditation is granted:
  • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: https://www.csqa.it/Services/aziende-certificate

 

  • Name: IMQ S.p.A.
  • URL to body: http://www.imq.it/
  • Date of accreditation: 20.12.2016 (until 09.03.2021)
  • URL to accreditation certificate: ‘it’ Accreditation Certificate N.005B
    • QTSP/QTS type(s) for which accreditation is granted:
    • Qualified certificates for electronic signatures
  • Qualified electronic time stamps
  • Accreditation scheme: ISO/IEC 17065 – ETSI EN 319 403 – PRD
  • URL to eIDAS conformity assessment scheme: –
  • URL to CAB’s Directory of assessed QTSP/QTS: http://www.imq.it/opencmsIMQ/opencms/it/banca_dati/aziende.html

Fuente: EIDAS Conformity Assessment Bodies

Contacto para consultas +34 902 365 612

Normas Técnicas Reglamentarias (RTS) en la Directiva sobre servicios de pago revisada (PSD2)

Posted in Autenticación fuerte, EIDAS, Firma electrónica, PSD2, RTS | No Comments »

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (European Banking Authority, EBA) publicó su borrador final de Normas Técnicas de Reglamentación (Regulatory Technical Standards, RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

El artículo 25 del proyecto de norma técnica de regulación publicado por la EBA en cumplimiento del mandato de la Comisión Europea de desarrollo de la PSD2 (Segunda Directiva de Pagos) se refiere a los requisitos de identificación y el 29 al mecanismo específico de los certificados.

En este último artículo queda patente la importancia de los servicios de confianza definidos por el EIDAS (Reglamento UE 910/2014).

  1. Para el propósito de identificación, a que se refiere el artículo 21, apartado 1, letra a), los proveedores de servicios de pago  confiarán en certificados cualificados para generación de sellos electrónicos tal como se definen en el apartado 30 del artículo 3 del Reglamento (UE) n ° 910/2014 4 o en los certificados de autenticación de sitio webpara según se definen en el en el apartado 39 del artículo 3 de dicho Reglamento.
  2. A los efectos del presente Reglamento, el número de registro contemplado en la letra C del anexo III del Reglamento (UE) no 910/2014 se referirá al número de autorización correspondiente a los proveedores de servicios de pago que emiten instrumentos de pago basados en tarjetas (payment service provider issuing card-based payment instruments),  a los proveedores de servicios de información de cuenta (account information service provider) y a los proveedores de servicios de iniciación de pagos (payment initiation service provider), así como los prestadores de servicios
    de pagos de gestión de cuenta (account servicing payment service provider) que proporcionen dichos servicios, según consten  en el registro público del Estado miembro de origen del prestador, de conformidad con el artículo 14 de la Directiva (UE) 2015/2366 o según resulte de la notificación de cada autorización concedida al amparo del artículo 8 de la Directiva 2013/36 / EU de conformidad con el artículo 20 de dicha Directiva.
  3. A efectos del presente Reglamento, los certificados cualificados para generación de sellos electrónico  o para la autenticación del sitio web a que se refiere el párrafo 1 del presente artículo, deberán incluir varias menciones en lengua inglesa para reflejar los siguientes atributos específicos adicionales:
    (a) el papel del prestador de servicios de pago, que podrá ser uno o más  uno o más de los siguientes:  “account servicing payment service provider”; “payment initiation service provider”;  “account information service provider”;  “payment service provider issuing card-based payment instruments”, respectivamente “proveedor de servicios de pago de gestión de cuenta”, “proveedor de servicios de iniciación de pago”, “proveedor de servicio de información de cuenta” y “proveedor de servicios de pago que emite instrumentos de pago basados en tarjetas”.
    (b) la denominación de las autoridades competentes en las que el prestador de servicios está registrado.
    4. Los atributos mencionados en el apartado 3 no afectarán a la interoperabilidad y
    reconocimiento de certificados calificados para sellos electrónicos o autenticación de sitios web.

En el marco de #eIdAS es de aplicación el estándar EN 319 412 en sus partes 1, 3 y 4 (EN 319 412-1, EN 319 412-3 y EN 319 412-4) por lo que la mención del registro de entidades financieras correspondería a las siglas BA (Banking Authority).

eadt-logoPor ejemplo, el “serial number” del certificado cualificado del BBVA a los efectos de la autenticación como “Prestador de servicios de gestión de cuentas” en el marco de la segunda directiva de pagos (PSD2) debería identificarse con el valor  BA:ES0182

EADTrust ya está en condiciones de emitir certificados cualificados para prestadores de servicios amparados por la PSD2 y alineados con la versión publicada a finales de febrero de 2017 de los “Regulatory Technical Standards” de la European Banking Association

Certificados admitidos por el Banco de España

Posted in Banco de España, EIDAS | No Comments »

El Banco de España restringe los certificados electrónicos emitidos por Prestadores de Servicios de Certificación (PSCs) admitidos para el intercambio de información con el Banco de España.

Aclara en su página web que para cada servicio electrónico concreto ofrecido por el Banco de España, podrá admitirse sólo algunos de los certificados indicados. Se recomienda la lectura de la documentación asociada a cada servicio para conocer las particularidades del mismo.

Este planteamiento restrictivo tendrá que cambiar con la entrada en vigor del EIDAS (Reglamento UE 910/2014) ya que todos los organismos deberán admitirlos prestadores incluidos en la TSL.

Certificados de persona física

  • Infraestructura de Clave Pública del Banco de España (PKIBDE)
    • 1.3.6.1.4.1.19484.2.2.6 – Certificado de autenticación incluido en la tarjeta de identificación de Banco de España
    • 1.3.6.1.4.1.19484.2.2.12 – Certificado de firma incluido en la tarjeta de identificación de Banco de España
    • 1.3.6.1.4.1.19484.2.2.13 – Certificado provisional personal de autenticación
    • 1.3.6.1.4.1.19484.2.2.10 – Certificado provisional personal de firma
  • Dirección General de la PolicíaAbre en nueva ventana
    • 2.16.724.1.2.2.2.3 – Certificado de firma incluido en el Documento Nacional de Identidad Electrónico (DNIE)
    • 2.16.724.1.2.2.2.4 – Certificado de autenticación incluido en el Documento Nacional de Identidad Electrónico (DNIE)
  • Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda (CERES)Abre en nueva ventana
    • 1.3.6.1.4.1.5734.3.5 – Certificado de identidad de persona física de Clase 2 (certificado de ciudadano)
    • 1.3.6.1.4.1.5734.3.10.1 – Certificado de identidad de persona física de FNMT usuarios (certificado de ciudadano)
    • 1.3.6.1.4.1.5734.3.3.4.4.1 – Certificado en tarjeta para empleado público
    • 1.3.6.1.4.1.5734.3.3.4.4.2 – Certificado en formato software para empleado público
  • Infraestructura de Clave Pública del Sistema Europeo de Bancos Centrales (ESCB-PKI)Abre en nueva ventana
    • 0.4.0.127.0.10.1.2.2.1 – Certificado avanzado de autenticacion para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.2 – Certificado archivado avanzado de cifrado para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.3 – Certificado avanzado de cifrado para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.4 – Certificado avanzado de firma basado en un SSCD para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.5 – Certificado avanzado de firma para usuario del SEBC
    • 0.4.0.127.0.10.1.2.2.6 – Certificado estándar para usuario del SEBC
    • 0.4.0.127.0.10.1.2.3.1 – Certificado avanzado de autenticación para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.2 – Certificado avanzado de cifrado para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.4 – Certificado avanzado de firma basado en un SSCD para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.5 – Certificado avanzado de firma para usuario externo al SEBC
    • 0.4.0.127.0.10.1.2.3.6 – Certificado estándar para usuario externo al SEBC
  • Ministerio de Empleo y Seguridad SocialAbre en nueva ventana
    • 1.3.6.1.4.1.27781.2.4.4.1.3 – Certificado de firma de empleado público
    • 1.3.6.1.4.1.27781.2.4.4.2.3 – Certificado de autenticación de empleado público
  • CamerfirmaAbre en nueva ventana
    • 1.3.6.1.4.1.17326.10.9.2.1 – Certificado en formato software de pertenencia a entidad
    • 1.3.6.1.4.1.17326.10.9.2.2 – Certificado en tarjeta de pertenencia a entidad
    • 1.3.6.1.4.1.17326.10.9.3.1 – Certificado en formato software de representante
    • 1.3.6.1.4.1.17326.10.9.3.2 – Certificado en tarjeta de representante
    • 1.3.6.1.4.1.17326.10.9.5.1 – Certificado en formato software de apoderamiento especial
    • 1.3.6.1.4.1.17326.10.9.5.2 – Certificado en tarjeta de apoderamiento especial
    • 1.3.6.1.4.1.17326.1.3.4.1 – Certificado de firma en tarjeta de empleado público
    • 1.3.6.1.4.1.17326.1.3.4.2 – Certificado de autenticación en tarjeta de empleado público
    • 1.3.6.1.4.1.17326.1.3.4.4 – Certificado en formato software de empleado público
  • FirmaprofesionalAbre en nueva ventana
    • 1.3.6.1.4.1.13177.10.1.2.1 – Certificado en tarjeta corporativo de persona física
    • 1.3.6.1.4.1.13177.10.1.2.2 – Certificado en formato software corporativo de persona física
    • 1.3.6.1.4.1.13177.10.1.11.1 – Certificado en tarjeta de representante legal
    • 1.3.6.1.4.1.13177.10.1.1.1 – Certificado en tarjeta de colegiado
    • 1.3.6.1.4.1.13177.10.1.1.2 – Certificado en formato software para colegiado
    • 1.3.6.1.4.1.13177.10.1.22.1 – Certificado en tarjeta de empleado público
    • 1.3.6.1.4.1.13177.10.1.22.2 – Certificado en formato software de empleado público
  • ANF Autoridad de CertificaciónAbre en nueva ventana
    • 1.3.6.1.4.1.18332.3.4 – Certificado de persona física
  • Registradores de EspañaAbre en nueva ventana
    • 1.3.6.1.4.1.17276.0.1.1.1 – Certificado de registrador
    • 1.3.6.1.4.1.17276.0.1.2.1 – Certificado de personal interno de los Registros
    • 1.3.6.1.4.1.17276.0.2.1.1 – Certificado personal
    • 1.3.6.1.4.1.17276.0.2.3.1 – Certificado de cargo administrativo
    • 1.3.6.1.4.1.17276.0.2.4.1 – Certificado de administración local
    • 1.3.6.1.4.1.17276.0.2.5.1 – Certificado de profesional
  • Autoridad de Certificación de la AbogacíaAbre en nueva ventana
    • 1.3.6.1.4.1.16533.10.2.1 – Certificado de colegiado
    • 1.3.6.1.4.1.16533.10.3.1 – Certificado de personal administrativo
  • IzenpeAbre en nueva ventana
    • 1.3.6.1.4.1.14777.2.2 – Certificado corporativo privado
    • 1.3.6.1.4.1.14777.2.6 – Certificado de ciudadano
    • 1.3.6.1.4.1.14777.4.1 – Certificado de personal de las Entidades Públicas
    • 1.3.6.1.4.1.14777.4.2 – Certificado corporativo
    • 1.3.6.1.4.1.14777.7.1 – Certificado de personal del Gobierno Vasco
  • Autoritat de Certificació de la Comunitat Valenciana (ACCV)Abre en nueva ventana
    • 1.3.6.1.4.1.8149.3.6.6.0 – Certificado en tarjeta de ciudadano
    • 1.3.6.1.4.1.8149.3.7.5.0 – Certificado en formato software de ciudadano
    • 1.3.6.1.4.1.8149.3.13.4.0 – Certificado en tarjeta de empleado público
    • 1.3.6.1.4.1.8149.3.18.2.0 – Certificado en formato software de empleado público

Certificados de persona jurídica

Certificados de componente informático