Boletín nº 4 año 2011

Certificados electrónicos reconocidos: qué son y para qué sirven

imagen

En las últimas fechas, son muchos los servicios que se han puesto en Internet a disposición de la ciudadanía por medio del uso de certificados electrónicos reconocidos.

No obstante, el uso de este tipo de certificados para relacionarse con medios telemáticos es muy pequeño a pesar de las muchas ventajas que proporciona.

Por ello, la Oficina de Seguridad de la OTIC quiere darles a conocer en qué consisten y para qué sirven los certificados electrónicos reconocidos, con el fin de generar confianza acerca de estos mecanismos y animar a usarlos, y así impulsar el uso de medidas que ayuden a aumentar la seguridad de la información y, con ello, la confianza en los sistemas de información.

¿Qué es un certificado electrónico?

Un certificado electrónico es un documento digital que permite, entre otros aspectos, identificar al titular del certificado —ya sea una persona física o jurídica—, intercambiar información de manera segura y firmar electrónicamente los datos que se envían, de tal forma que se pueda comprobar su integridad y procedencia.

Las entidades encargadas de emitir certificados se denominan “prestadoras de servicios de certificación” o “autoridades de certificación”.

Cada certificado está identificado por un número de serie único y tiene un período de validez, que también está incluido en la información del certificado.

¿Qué es un prestador de servicios de certificación?

Es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica y que cumple los requisitos establecidos en la Ley 59/2003, de 19 de diciembre, de firma electrónica, en cuanto a la comprobación de la identidad y otras circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

En la actualidad hay una gran diversidad de prestadores de servicios de certificación, entre los que cabe destacar la Fábrica Nacional de Moneda y Timbre y el Cuerpo Nacional de Policía.

¿Qué es un certificado electrónico reconocido?

Existen prestadores de servicio de certificación, que han de cumplir unas garantías muy exigentes, autorizados para generar los llamados “certificados reconocidos”. Estas garantías están determinadas en la Ley de firma electrónica.

La firma electrónica reconocida es la que es generada con certificados reconocidos y por medio de dispositivos seguros de creación de firma.

Es importante destacar que, para que se reconozca a la firma electrónica el mismo valor que a la firma manuscrita, debe generarse exclusivamente mediante un dispositivo seguro de creación de firma junto con un certificado electrónico reconocido.

Pueden obtener la relación de los prestadores de servicio de certificación que emiten certificados reconocidos haciendo clic en este enlace: https://www11.mityc.es/ prestadores/busquedaPrestadores.jsp.

¿Para qué sirve un certificado electrónico reconocido y qué garantías ofrece?

A grandes rasgos, un certificado electrónico reconocido puede servir para las acciones siguientes:

  • Autenticar de forma inequívoca la identidad de la persona ante terceras entidades. Es decir, demostrar que una parte de la transacción es quien dice ser.
  • Firmar digitalmente documentos, con lo cual se garantiza su integridad y se les otorga la misma validez jurídica que a los documentos firmados manualmente.
  • Cifrar la información, a fin de que no pueda ser conocida por personas no autorizadas.
  • Garantizar el “no repudio”; es decir, se impide que un usuario pueda negar la titularidad de los documentos que ha firmado, de lo que se deriva que nadie más que el usuario puede generar una firma vinculada a su certificado.

¿Dónde se puede solicitar un certificado electrónico reconocido?

Los certificados electrónicos reconocidos son expedidos por determinados prestadores de certificación. El modo más habitual de obtener uno es con la expedición del DNI electrónico.

¿Cómo se puede almacenar un certificado?

Los certificados pueden estar almacenados en soporte de software o de hardware. En el primer caso se almacenan en algún tipo de software, como un navegador. En el segundo caso se almacenan en un soporte de hardware, como el DNI electrónico o alguna otra tarjeta criptográfica, como las que el Servicio de Salud proporciona a los facultativos para firmar las recetas electrónicas.

La forma más segura de almacenar el certificado electrónico es una tarjeta criptográfica, ya que garantiza que no se puede extraer la clave privada y para usarla se requiere una clave personal de acceso (PIN). Esta tarjeta es un dispositivo seguro de creación de firma que incluye un programa que permite la creación de la firma electrónica por medio de un certificado electrónico reconocido. Para poder usar los certificados almacenados en la tarjeta es imprescindible disponer de un lector de tarjetas que permita acceder al certificado e introducir el PIN.

¿Qué ventajas tiene usar los certificados electrónicos en el ámbito del Servicio de Salud?

Para los profesionales, cabe destacar las ventajas siguientes, entre otras:

  • Aumenta la seguridad en los accesos a los sistemas de información.
  • Facilita la integración, la seguridad y la fiabilidad de la información.
  • Mejora la calidad del servicio prestado, ya que permite reducir la carga burocrática y usar nuevas aplicaciones asistenciales (receta electrónica e historia clínica digital del Sistema Nacional de Salud).

Para los pacientes tiene estas otras ventajas:

  • Acceso al Portal del paciente del Servicio de Salud, en el cual los usuarios pueden consultar un resumen de su historia clínica.
  • En el futuro también podrán acceder a la historia clínica digital del Sistema Nacional de Salud.

¿Qué usos se puede dar al certificado electrónico reconocido?

Actualmente existen una gran cantidad de servicios en la administración pública y en las entidades privadas que admiten la identificación por medio de un certificado reconocido. Así mismo, se prevé que el número de trámites que se puedan realizar con el certificado electrónico reconocido vaya aumentando gracias al desarrollo y la aplicación de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, en la cual se reconoce el derecho de los ciudadanos a relacionarse con las administraciones públicas por medios electrónicos.

Entre los usos más destacados hay que citar los siguientes:

  • Acceso a los servicios en línea de diversas entidades bancarias.
  • Presentación de la declaración del IRPF.
  • Trámites ante la Seguridad Social.
  • Trámites ante la Dirección General de Tráfico.

Pueden consultar más usos haciendo clic en este enlace: http://www.dnielectronico.es/servicios_disponibles

Preguntas más frecuentes sobre el Código de buenas prácticas (III)

Tal como hicimos en los dos boletines anteriores, en este número les damos a conocer las preguntas más frecuentes que han surgido sobre el capítulo V del Código de buenas prácticas, relativo a las medidas de seguridad físicas y lógicas y que tiene relación con el tema de las páginas precedentes.

¿Cuáles son las principales medidas de seguridad de acceso físico?

 Las pantallas, especialmente las que estén en zonas con acceso al público en general, deben orientarse de tal forma que se elimine al máximo el ángulo de visión al personal no autorizado.

 La información que contenga datos de carácter personal o sea confidencial, independientemente del formato en que esté (dispositivos de almacenamiento, archivadores, pantallas…), debe ser custodiada en todo momento por el profesional que la tiene a su cargo a fin de evitar el acceso de personas no autorizadas.

 Nunca debe tenerse información a la vista de terceras personas sin el debido control de la persona que la tenga a su cargo. Cuando esté ausente, debe tomar medidas para evitar el acceso a la información, como bloquear la sesión del ordenador, guardar las historias clínicas bajo llave, recoger de las impresoras los documentos en el momento en que se impriman...

¿Cuáles son las principales medidas de seguridad de acceso lógico?

 El identificador de usuario y las tarjetas criptográficas —y su contraseña correspondiente— son confidenciales, personales e intransferibles. Por tanto, es responsabilidad del titular el uso que haga de ello.

 En ningún caso hay que guardar las contraseñas en archivos digitales, en papel o en cualquier otro tipo de soporte que sea legible o accesible.

 En ninguna circunstancia se puede utilizar una sesión abierta bajo otra identidad.

 Si un usuario sospecha que su contraseña ha sido conocida fortuita o fraudulentamente por personas no autorizadas, debe modificarla y notificar inmediatamente la incidencia al servicio de soporte correspondiente.

 A la hora de crear una contraseña, no debe elegirse una que pueda ser conocida fácilmente por terceras personas.