Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

Boletín núm. 107: firma electrónica y certificados digitales en el ámbito del Servicio de Salud de las Islas Baleares

En un mundo donde la digitalización avanza a pasos agigantados, la seguridad y autenticidad de la información se vuelven más cruciales que nunca. En este contexto, los certificados electrónicos y la firma digital emergen como herramientas esenciales para garantizar la integridad de los datos y la validez legal en entornos digitales.

 

Los certificados electrónicos permiten acreditar la identidad de una entidad o persona en el entorno en línea. Funcionan como credenciales digitales que respaldan la identidad de un individuo o entidad y proporcionan una capa de confianza en las comunicaciones y transacciones digitales. Estos están basados en la infraestructura de clave pública (PKI), que utiliza pares de claves criptográficas para funcionar.

 

Un certificado electrónico es un archivo digital que contiene información sobre la identidad de una entidad o persona, así como su clave pública. Está firmado digitalmente por una autoridad de certificación (AC) de confianza para garantizar su autenticidad.

 

A continuación, se describen los tipos de certificados electrónicos a nivel de usuario más comunes:

  1. Certificado de empleado público: un certificado de empleado público es un tipo de certificado electrónico que se emite a personas que trabajan en el sector público. Estos certificados se utilizan para autenticar la identidad de los empleados públicos en línea y para permitirles acceder a sistemas y servicios electrónicos internos de la administración pública de manera segura.
  2. Certificado de persona física: un certificado de persona física es un tipo de certificado electrónico que identifica a una persona individual en el mundo digital. Se utiliza para autenticar la identidad del titular en diversas transacciones y comunicaciones en línea. Este tipo de certificado se utiliza en aplicaciones como la presentación de impuestos en línea, la firma electrónica de documentos y la autenticación en servicios en línea.
  3. Certificado de representación: un certificado de representación es un certificado electrónico utilizado para indicar que una persona tiene el derecho de representar a una organización o entidad específica en transacciones y comunicaciones en línea. Se utiliza para confirmar la autoridad de una persona para actuar en nombre de una entidad y tomar decisiones en su representación
  4. DNI electrónico (documento nacional de identidad electrónico): es una versión digital y electrónica del documento de identidad emitido por las autoridades gubernamentales de algunos países. El DNI electrónico está diseñado para proporcionar una manera segura y autenticada de identificación en entornos en línea y digitales.

 

Los roles de las autoridades de certificación y autoridades de registro en el proceso de emisión son los siguientes:

  • Autoridad de registro (AR): es una entidad responsable de verificar la identidad de los solicitantes de certificados digitales y de recopilar la información necesaria para emitir esos certificados. La AR actúa como intermediario entre el solicitante y la autoridad de certificación (AC) que emite el certificado electrónico. Ayuda a garantizar que los datos proporcionados por el solicitante sean precisos y verificables antes de que se emita el certificado.
  • Autoridad de certificación (AC): es una entidad de confianza que emite, gestiona y revoca certificados digitales en un entorno de infraestructura de clave pública (PKI, por sus siglas en inglés). La AC desempeña un papel fundamental en la creación de una cadena de confianza en la seguridad de las comunicaciones y transacciones en línea.

 

La revocación de certificados electrónicos comprometidos o caducados es esencial para mantener la seguridad de la infraestructura de clave pública (PKI). Cuando un certificado ya no es válido o se ha comprometido, es importante tomar medidas para asegurarse de que no se pueda utilizar de manera malintencionada.

En el Servicio de Salud de las Islas Baleares se pueden emitir tres tipos de certificados: de empleado público, de persona física y de representación. Estos certificados, emitidos por la autoridad de certificación SIA, son certificados en la nube, lo que significa que no dependen de un SW instalado en el ordenador ni de un hardware específico.

 

Esto permite, por medio de integraciones, contar con integraciones con la plataforma de certificados en la nube y poder así autenticar y permitir firmar a los usuarios desde cualquier lugar. Actualmente hay integraciones con la federación de identidades del Servicio de Salud, con el sistema de receta electrónica, con SISN2, y portafirmas. Adicionalmente los usuarios tienen disponible la aplicación SafeCert en Windows, que permite usar el certificado en la nube como un certificado más instalado en el ordenador de los usuarios (para el uso en aplicaciones que no cuenten con integración).

 

Adicionalmente, en España se cuenta con el sistema Cl@ve (Código Lógico de Autenticación Estandarizado), que es una plataforma de autenticación electrónica que permite a los ciudadanos y empresas acceder a una gama amplia de servicios en línea de manera segura y conveniente. Cl@ve es un proyecto gubernamental que busca simplificar y unificar la identificación y autenticación en línea en el ámbito público y privado.

 

A continuación, presentamos algunas buenas prácticas para asegurar el uso seguro de certificados electrónicos:

  • No comparta su clave con nadie.
  • Use una contraseña fuerte.
  • Verifique la autoridad emisora y firma.
  • Preste atención a las advertencias del navegador.
  • Verifique los documentos antes de firmar.
  • No revele su clave privada al firmar.
  • Guarde los certificados en dispositivos seguros.

 

Enlaces de interés:

 

Le recordamos que la seguridad de la información es cosa de todos y que empieza por cada uno.