El 1 de julio de 2016 entró en vigor el nuevo reglamento europeo de firma electrónica, eIDAS
Los Prestadores de Servicios Electrónicos de Confianza (PSEC) deberán presentar antes del 1 de julio de 2017 un informe favorable de su actividad porque si no, no van a poder seguir operando ni en España ni en la Unión Europea.eIDAS obliga a los PSEC a pasar una auditoria bianual para demostrar que están cumpliendo con lo que marca la nueva normativa europea. Este año es el primero en que las entidades deben presentar resultados y será sin duda uno de los retos más importantes de este año.
De hecho los que no tengan un informe CAR (Conformity Assessment Report) favorable derivado de esta auditoría antes de la fecha señalada van a quedarse fuera del mercado europeo de la certificación digital.
Para qué es necesario el informe CAR
Tener un informe CAR positivo es el requisito para:
- Tener la autorización del estado para prestar servicios de confianza cualificados.
- Estar incluido en la lista de confianza de prestadores de servicios electrónicos de confianza (TSL) para que los todos estados miembros los reconozcan y acepten.
Antes los Proveedores de Servicios de Confianza (ahora PSEC) tan solo tenían que informar de su actividad a un órgano superior. Con eIDAS esto ha cambiado y ahora, para poder prestar servicios de confianza cualificados, deben solicitar la autorización expresa a un organismo de supervisión. Si no, no pueden operar. En el caso de España este organismo es la SETSI (Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información).
Cuando el organismo de supervisión verifica que la entidad cumple con los requisitos establecidos en el reglamento (UE) 910/2014 se le concede la cualificación y se la incluye en la lista TSL.
Estar en esta lista es lo que posibilita la libre circulación de certificados por la UE, ya que eIDAS obliga a todos los estados miembros a aceptar los certificados expedidos por los prestadores incluidos.
Qué evalúa el informe CAR
El informe CAR ha de estar emitido por un organismo de evaluación acreditado, conocido como Conformity Assessment Body (CAB) y se consigue tras pasar la auditoria bianual a la que obliga eIDAS. Esta auditoría no solo es general para ser prestador de servicios de confianza, sino que amplía su alcance para evaluar cada servicio que el prestador ofrece: certificado de sello electrónico, servicio de sellado de tiempo, firma en la nube,…
En la auditoría se analizarán los centros de procesamientos de datos (CPD), todos los procedimientos, el software utilizado, la criptografía y seguridad, la seguridad en la autentificación de los operadores…
Firmaprofesional hace tiempo que se ha adelantado y ya se somete a auditorias voluntarias como las ISO 9001, ISO 27001 o la certificación WebTrust para estar, desde el primer día, acorde con la eIDAS.
Si tienes dudas y/o quieres más información puedes ponerte en contacto con nosotros.