SERVICIOS Y ESTRATEGIAS PARA EL DESARROLLO DE ESPACIOS SEGUROS EN LA RED
-
Upload
catcert -
Category
Technology
-
view
756 -
download
2
Transcript of SERVICIOS Y ESTRATEGIAS PARA EL DESARROLLO DE ESPACIOS SEGUROS EN LA RED
SERVICIOS Y ESTRATEGIAS PARA EL DESARROLLO DE ESPACIOS SEGUROS EN LA RED
Seguridad y Preservación de documentos electrónicos
Xavier Tarrès Chamorro
23 de març del 2010
- ¿Cuantos documentos electrónicos firmados tiene Vd. Ya
en su Administración?
- ¿Alguno no ha sido firmado con sello de tiempo?
- ¿Qué porcentaje de ellos fueron firmados hace más de 4
años ?
- ¿Es consciente que los certificados usados para firmar la
mayoria de estos documetos serán revocados en los
próximos procesos electorales de este año?
‗ El Archivo electrónico según la Ley 11/2007
‗ Formatos de firma preservable
‗ Requisitos Esquema Nacional de
Interoperabilidad
‗ Requisitos Esquema Nacional de Seguridad
‗ Modelos de archivo
1.Resellado
2.Repositorio de confianza
3.Modelo híbrido. iArxiu
4.Preservación de documentos sin firmar
‗ Servicios de preservación ofrecidos por CATCert
‗ Conclusiones
Artículo 31. Archivo electrónico de documentos.
1. Podrán almacenarse por medios electrónicos todos los
documentos utilizados en las actuaciones administrativas.
2. Los documentos electrónicos que contengan actos administrativos
que afecten a derechos o intereses de los particulares deberán
conservarse en soportes de esta naturaleza, ya sea en el mismo
formato a partir del que se originó el documento o en otro
cualquiera que asegure la identidad e integridad de la información
necesaria para reproducirlo. Se asegurará en todo caso la
posibilidad de trasladar los datos a otros formatos y soportes que
garanticen el acceso desde diferentes aplicaciones.
El Archivo electrónico según la Ley 11/2007
Artículo 31. Archivo electrónico de documentos.
3. Los medios o soportes en que se almacenen documentos, deberán
contar con medidas de seguridad que garanticen la
integridad, autenticidad, confidencialidad, calidad, protección y
conservación de los documentos almacenados. En
particular, asegurarán la identificación de los usuarios y el control
de accesos, así como el cumplimiento de las garantías previstas en
la legislación de protección de datos.
El Archivo electrónico según la Ley 11/2007
6
Formato de firma preservable
‗ En general, consideramos preservables todos los formatos de firma
avanzados que sean completables con sellos de tiempo e información
completa de validación.
‗ La firma de archivo contiene todos los datos necesarias para validar la
firma, protegidos por un nuevo sello de tiempo.
7
‗ Al contener todos los datos necesarios para la validación, permite a la firma
sobrevivir a la vida de la propia entidad de certificación.
‗ Todos los elementos que componen la firma, así como el sello de tiempo que
los protege, deben ser resellados antes de la fecha de caducidad de este
último
Formato de firma preservable
8
…que se pueda asegurar su recuperación de acuerdo con el plazo mínimo de conservación determinado por las normas administrativas y obligaciones jurídicas, se garantice su conservación a largo plazo, se asegure su valor probatorio y su fiabilidad como evidencia electrónica de las actividades y procedimientos… (ENI art 22)
Formato de firma preservable
9
‗ El Artículo 21 y 22 del ENI define las condiciones para la recuperación y
conservación de documentos, y marca algunas directrices para la
conservación de documentos y firmas.
‗ Medidas organizativas (Técnica archivística y uso de dispositivos /
servicios de custodia)
‗ Medidas técnicas para el mantenimiento de la firma:
‗ Los aspectos relativos a la firma electrónica en la conservación del
documento electrónico se establecerán en la Política de firma
electrónica y de certificados,
‗ El uso de formatos de firma longeva que preserven la conservación
de las firmas a lo largo del tiempo.
‗ En el marco de las administraciones públicas, el uso de referencias
temporales y de sello de tiempo quedará definido en la Política de
firma electrónica y de certificación y de la Administración, que será
considerada una Norma Técnica de Interoperabilidad de obligado
cumplimiento.
Requisitos Esquema Nacional de Interoperabilidad
‗ Según lo que especifica el Anexo II del ENS, el sello de tiempo es
obligatorio en firmas de nivel medio y alto.
‗ Los sellos de tiempo prevendrán la posibilidad del repudio posterior:
‗ Los sellos de tiempo se aplicarán a aquella información que sea
susceptible de ser utilizada como evidencia electrónica en el futuro.
‗ Los datos pertinentes para la verificación posterior de la fecha serán
tratados con la misma seguridad que la información fechada a efectos
de disponibilidad, integridad y confidencialidad.
‗ Se renovarán regularmente los sellos de tiempo hasta que la
información protegida ya no sea requerida por el proceso
administrativo al que da soporte.
‗ Se utilizarán productos certificados o servicios externos admitidos
‗ En ningún caso, la legislación entra a definir la estrategia de preservación
de los documentos firmados electrónicamente.
10
Requisitos Esquema Nacional de Seguridad
• … Se utilizarán preferentemente sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y que estén certificados por entidades independientes de reconocida solvencia.
• Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas.
• Tendrán la consideración de entidades independientes de reconocida solvencia las recogidas en los acuerdos o arreglos internacionales de reconocimiento mutuo de los certificados de la seguridad de la tecnología de la información u otras de naturaleza análoga.
11
Requisitos Esquema Nacional de Seguridad
1. Resellar las fimas
Una solución consiste en incorporar periódicamenteun sello de tiempo a la firma para mantener la cadena de confianza entre los sellos.
servidor de
sello de tiempo
Administraciones
públicas
2. Uso de un repositorio digital de confianza
También podemos archivar y almacenar los documentos electrónicos i sus firmas en un archivo digital de confianza.
Administraciones
públicas
3. Solución híbrida
También puede usarse una combinación de las dos anteriores, es decir, un repositorio de confianza que mantenga las firmas de negocio.
4. Archivo de documentos no firmados
Cuando la firma y los certificados no puedan garantizar la autenticidady la evidencia de los documentos electrónicos a lo largo del tiempo, éstas les sobrevendrán a través de su conservación y custodia en los repositorios y archivos electrónicosde acuerdo con las características que se definirán en la Política de gestión de documentos
‗ Sello de archivo i preservación de documentos (expedientes cerrados
en fase de vigencia). Plataforma iArxiu
‗ Sello de perdurabilidad. Ofrecerá las funciones básicas para el
mantenimiento de firmas.
‗ Sello de formato, que permitirá obtener copias autenticas de documentos
firmados electrónicamente, con el objetivo de asegurar lo más allá de la
validez de sus firmas.
Los servicios de preservación ofrecidos por CATCert
‗ Existen varias alternativas para la preservación de firmas electrónicas.
‗ Aunque ENI hace referencia a la política de firma descrita en las NTI, ni ENI
ni ENS ni la política de firma descrita en NTI orientan en la elección de una
u otra alternativa.
‗ Es aplicable el principio de proporcionalidad a la hora de aplicar una
alternativa u otra?
‗ Si se adopta una estrategia de preservación de las firmas mediante
resellado, sería posible disponer de un servicio en la nube de custodia de
firmas?
Conclusiones
Reflexiones