Introducción

Esta Política de creación de firmas (SCP) describe las políticas y los procedimientos que sigue nuestro servicio API de creación de firmas electrónicas cualificadas para crear firmas electrónicas cualificadas (QES) para nuestros clientes. Esta política cumple con las leyes y reglamentos pertinentes, incluido, entre otros, el reglamento eIDAS (UE) 910/2014.

Abreviaturas

• AATL: lista de confianza aprobada por Adobe
• AdES — Firma electrónica avanzada
• EUTL — Lista de confianza de la Unión Europea
• DTBSR: representación de los datos a firmar; hash de los datos a firmar formateado, que se utiliza para calcular el valor de la firma digital
• QES — Firma electrónica cualificada
• QTSP: proveedor de servicios de confianza calificado
• OTP: contraseña de un solo uso
• SD — Documento del firmante
• SCP — Política de creación de firmas
• SCD — Datos de creación de firmas
• DA: aplicación de conducción que utiliza la API eID Easy para crear firmas

Verificación de identidad

Nuestro servicio de API de creación de QES verifica la identidad del firmante a través de un proceso de identificación seguro y confiable, que cumple con el reglamento eIDAS. Este proceso de verificación sigue los pasos diseñados o habilitados por QTSP.

Datos de creación de firmas

Nuestro servicio de API de creación de QES crea una firma que se basa en datos de creación de firmas (SCD) que están vinculados de forma única al firmante y a los datos que se están firmando. El SCD incluye un certificado digital seguro que identifica al firmante, el hash criptográfico de los datos firmados y una marca de tiempo emitida por una autoridad de certificación de fecha y hora de confianza.

Entorno seguro de creación de firmas

Nuestro servicio de API de creación de QES garantiza que el entorno de creación de firmas sea seguro y que solo el personal autorizado pueda acceder a él. El entorno de creación de firmas incluye componentes de hardware y software seguros a prueba de manipulaciones y resistentes al acceso no autorizado.

Suites criptográficas

eID Easy utiliza la función criptográfica según ETSI TS 119 312 v1.4.2.

Funciones de hash para la creación de la firma que se pueden seguir

• SHA-256
• SHA-384
• SHA-512
• SHA3-224
• SHA3-256
• SHA3-384
• SHA3-512

Los algoritmos de firma digital pueden ser los siguientes

• RSA-PSS
• RSA-PKCS1 v1.5
• ECDSA con curvas NIST P-256, P-384 o P-521
• ECDSA con curvas Brainpool Brainpool P256R1, Brainpool P384R1 o Brainpool P512R1
• ECDSA con curva FR FRP256v1

Certificado cualificado

Nuestro servicio de API de creación de QES utiliza certificados cualificados emitidos por un proveedor de servicios de confianza cualificado (QTSP) reconocido por el reglamento eIDAS. El certificado cualificado incluye la identidad del firmante y la clave pública que se utiliza para verificar la firma.

Tipos de firma

La aplicación eID Easy permite la creación de los siguientes niveles de firmas

• QES: firma electrónica cualificada, de acuerdo con eIDAS (EU 910/2014)
• QES no eIDAS: firma electrónica cualificada reconocida a nivel nacional fuera de la UE/CEE
• AdES-QC: firma electrónica avanzada, basada en un certificado cualificado (según eIDAS)
• AdES completa: firma electrónica avanzada basada en certificados, incluida en EUTL o AATL
• AdES light: firma electrónica avanzada basada en sellos, basada en una autenticación sólida (LoA Substantial/LoA High) y un sello electrónico cualificado
• SES 2FA: firma electrónica sencilla con autenticación de dos factores (código SMS OTP)
• SES — firma electrónica simple

Proceso de creación de firmas

Formatos de firma de eID Easy con perfiles de referencia Baseline-B, Baseline-T, Baseline-LT y Baseline-LTA. Las marcas de tiempo válidas se adquieren de SK ID Solutions (EE) y Baltstanp (LT).

• Perfil de referencia de XAdES: ETSI TS 103171 v.2.1.1;
• Perfil de referencia de CADes: ETSI TS 103173 v.2.2.1;
• Perfil de referencia PAdES: ETSI TS 103172 v.2.2.2;
• Perfil básico básico: ETSI TS 103174 v.2.2.1.

Estos formatos de firma deberán contener certificados de firma como parte de los datos firmados. Si se utiliza un proceso de firma basado en hash, la aplicación de conducción (DA) debe crear una firma en un formato que incluya una firma en un formato que proteja el certificado de firma que contiene la firma para que no pueda ser reemplazado sin ser detectado una vez creada la firma.

Si eID Easy dispone de archivos completos para firmar, eID Easy mostrará al firmante una vista previa de los documentos (SD) si están en formato imagen o PDF y permitirá descargar la SD antes de firmarla. eID Easy se asegurará de que la representación de los datos que se van a firmar (DTBSR) esté compuesta correctamente calculando el DTBSR y validando la firma para detectar errores una vez completada la firma.

What You See Is What You Sign (WYSIWYS) se consigue renderizando archivos PDF en el navegador utilizando la biblioteca Javascript PDF.js de código abierto. La vista previa del archivo de imagen se representa mediante una etiqueta HTML. Otros tipos de contenido no se renderizarán y solo se pueden descargar para ver la vista previa.

El DTBSR se calculará después de que el firmante haya visto DTBS o SD y su firma incluirá la marca de tiempo de los datos firmados.

Cuando el firmante proceda a la confirmación de la firma, se realizará un proceso de creación de firma específico para el QTSP elegido.

Si hay más de un certificado de firma disponible para el firmante, eID Easy elegirá la selección predeterminada o permitirá al firmante elegir el certificado de firma.

El tipo de compromiso de firma es, por defecto, «Acepto y apruebo el contenido de este documento». Si el tipo de compromiso es diferente, se insertará en los campos de motivo o rol y se podrá mostrar en el widget de firmas de PAde.
El DA puede elegir el tipo de compromiso o dejar que el usuario escriba el tipo de compromiso por su cuenta durante el proceso de creación de la firma.

Cuando se haya completado la firma, DA puede eliminar todos los datos temporales y los archivos firmados inmediatamente después de descargar los archivos firmados o hacer que los datos se eliminen automáticamente en un plazo de 7 días.

Registro de auditoría

Nuestro servicio de API de creación de firmas genera un registro de auditoría como documento independiente para las actividades de creación de firmas electrónicas no calificadas, incluidos los atributos de identidad verificados del firmante y la marca de tiempo de la firma. Esta pista de auditoría se almacena de forma segura y solo el personal autorizado puede acceder a ella.

En el caso de QES, los eventos se almacenan en los registros de la aplicación, lo que permite auditar el proceso de creación de firmas.

Validación de firmas

Nuestro servicio de API de creación de QES proporciona mecanismos de validación de firmas para garantizar que la firma sea válida y que no haya sido manipulada. El proceso de validación de la firma incluye la verificación del SCD, el certificado válido y la marca de tiempo.

Conclusión

Nuestro servicio de API de creación de QES sigue este SCP para garantizar que los QES creados con nuestra API cumplan con las leyes y reglamentos pertinentes y sean seguros y confiables. Nos comprometemos a mantener los más altos estándares de seguridad y confiabilidad en todos nuestros servicios.

En vigor desde: 06/03/2023

Versiones anteriores: ninguna