SERVICIOS Y ESTRATEGIAS PARA EL DESARROLLO DE ESPACIOS SEGUROS EN LA RED

Seguridad y Preservación de documentos electrónicos

Xavier Tarrès Chamorro

23 de març del 2010

- ¿Cuantos documentos electrónicos firmados tiene Vd. Ya

en su Administración?

- ¿Alguno no ha sido firmado con sello de tiempo?

- ¿Qué porcentaje de ellos fueron firmados hace más de 4

años ?

- ¿Es consciente que los certificados usados para firmar la

mayoria de estos documetos serán revocados en los

próximos procesos electorales de este año?

‗ El Archivo electrónico según la Ley 11/2007

‗ Formatos de firma preservable

‗ Requisitos Esquema Nacional de

Interoperabilidad

‗ Requisitos Esquema Nacional de Seguridad

‗ Modelos de archivo

1.Resellado

2.Repositorio de confianza

3.Modelo híbrido. iArxiu

4.Preservación de documentos sin firmar

‗ Servicios de preservación ofrecidos por CATCert

‗ Conclusiones

Artículo 31. Archivo electrónico de documentos.

1. Podrán almacenarse por medios electrónicos todos los

documentos utilizados en las actuaciones administrativas.

2. Los documentos electrónicos que contengan actos administrativos

que afecten a derechos o intereses de los particulares deberán

conservarse en soportes de esta naturaleza, ya sea en el mismo

formato a partir del que se originó el documento o en otro

cualquiera que asegure la identidad e integridad de la información

necesaria para reproducirlo. Se asegurará en todo caso la

posibilidad de trasladar los datos a otros formatos y soportes que

garanticen el acceso desde diferentes aplicaciones.

El Archivo electrónico según la Ley 11/2007

Artículo 31. Archivo electrónico de documentos.

3. Los medios o soportes en que se almacenen documentos, deberán

contar con medidas de seguridad que garanticen la

integridad, autenticidad, confidencialidad, calidad, protección y

conservación de los documentos almacenados. En

particular, asegurarán la identificación de los usuarios y el control

de accesos, así como el cumplimiento de las garantías previstas en

la legislación de protección de datos.

El Archivo electrónico según la Ley 11/2007

6

Formato de firma preservable

‗ En general, consideramos preservables todos los formatos de firma

avanzados que sean completables con sellos de tiempo e información

completa de validación.

‗ La firma de archivo contiene todos los datos necesarias para validar la

firma, protegidos por un nuevo sello de tiempo.

7

‗ Al contener todos los datos necesarios para la validación, permite a la firma

sobrevivir a la vida de la propia entidad de certificación.

‗ Todos los elementos que componen la firma, así como el sello de tiempo que

los protege, deben ser resellados antes de la fecha de caducidad de este

último

Formato de firma preservable

8

…que se pueda asegurar su recuperación de acuerdo con el plazo mínimo de conservación determinado por las normas administrativas y obligaciones jurídicas, se garantice su conservación a largo plazo, se asegure su valor probatorio y su fiabilidad como evidencia electrónica de las actividades y procedimientos… (ENI art 22)

Formato de firma preservable

9

‗ El Artículo 21 y 22 del ENI define las condiciones para la recuperación y

conservación de documentos, y marca algunas directrices para la

conservación de documentos y firmas.

‗ Medidas organizativas (Técnica archivística y uso de dispositivos /

servicios de custodia)

‗ Medidas técnicas para el mantenimiento de la firma:

‗ Los aspectos relativos a la firma electrónica en la conservación del

documento electrónico se establecerán en la Política de firma

electrónica y de certificados,

‗ El uso de formatos de firma longeva que preserven la conservación

de las firmas a lo largo del tiempo.

‗ En el marco de las administraciones públicas, el uso de referencias

temporales y de sello de tiempo quedará definido en la Política de

firma electrónica y de certificación y de la Administración, que será

considerada una Norma Técnica de Interoperabilidad de obligado

cumplimiento.

Requisitos Esquema Nacional de Interoperabilidad

‗ Según lo que especifica el Anexo II del ENS, el sello de tiempo es

obligatorio en firmas de nivel medio y alto.

‗ Los sellos de tiempo prevendrán la posibilidad del repudio posterior:

‗ Los sellos de tiempo se aplicarán a aquella información que sea

susceptible de ser utilizada como evidencia electrónica en el futuro.

‗ Los datos pertinentes para la verificación posterior de la fecha serán

tratados con la misma seguridad que la información fechada a efectos

de disponibilidad, integridad y confidencialidad.

‗ Se renovarán regularmente los sellos de tiempo hasta que la

información protegida ya no sea requerida por el proceso

administrativo al que da soporte.

‗ Se utilizarán productos certificados o servicios externos admitidos

‗ En ningún caso, la legislación entra a definir la estrategia de preservación

de los documentos firmados electrónicamente.

10

Requisitos Esquema Nacional de Seguridad

• … Se utilizarán preferentemente sistemas, productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales y que estén certificados por entidades independientes de reconocida solvencia.

• Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas.

• Tendrán la consideración de entidades independientes de reconocida solvencia las recogidas en los acuerdos o arreglos internacionales de reconocimiento mutuo de los certificados de la seguridad de la tecnología de la información u otras de naturaleza análoga.

11

Requisitos Esquema Nacional de Seguridad

1. Resellar las fimas

Una solución consiste en incorporar periódicamenteun sello de tiempo a la firma para mantener la cadena de confianza entre los sellos.

servidor de

sello de tiempo

Administraciones

públicas

2. Uso de un repositorio digital de confianza

También podemos archivar y almacenar los documentos electrónicos i sus firmas en un archivo digital de confianza.

Administraciones

públicas

3. Solución híbrida

También puede usarse una combinación de las dos anteriores, es decir, un repositorio de confianza que mantenga las firmas de negocio.

4. Archivo de documentos no firmados

Cuando la firma y los certificados no puedan garantizar la autenticidady la evidencia de los documentos electrónicos a lo largo del tiempo, éstas les sobrevendrán a través de su conservación y custodia en los repositorios y archivos electrónicosde acuerdo con las características que se definirán en la Política de gestión de documentos

‗ Sello de archivo i preservación de documentos (expedientes cerrados

en fase de vigencia). Plataforma iArxiu

‗ Sello de perdurabilidad. Ofrecerá las funciones básicas para el

mantenimiento de firmas.

‗ Sello de formato, que permitirá obtener copias autenticas de documentos

firmados electrónicamente, con el objetivo de asegurar lo más allá de la

validez de sus firmas.

Los servicios de preservación ofrecidos por CATCert

‗ Existen varias alternativas para la preservación de firmas electrónicas.

‗ Aunque ENI hace referencia a la política de firma descrita en las NTI, ni ENI

ni ENS ni la política de firma descrita en NTI orientan en la elección de una

u otra alternativa.

‗ Es aplicable el principio de proporcionalidad a la hora de aplicar una

alternativa u otra?

‗ Si se adopta una estrategia de preservación de las firmas mediante

resellado, sería posible disponer de un servicio en la nube de custodia de

firmas?

Conclusiones

Reflexiones