Las futuras normas de perfiles de protección para A CTUALMENTE y una vez superado el periodo de Información Pública en el Boletín Oficial del Estado (BOE), proceso por el que pasa todo proyecto de norma que se elabora en el seno de los comités técnicos de Normalización de la Asociación Española de Normalización y Certificación (AENOR), las futuras normas que adoptan los perfiles de protección del DNI electrónico (DNIe), están a la espera de su aprobación definitiva para su publicación como normas UNE, un proceso que se prevé culmine en breve. De esta forma, se espera contribuir a la mejora de la calidad de las aplicaciones de firma electrónica e incrementar la confianza de los usuarios en los servicios, tanto de carácter público como privado, para los que sea necesaria la firma con DNIe. Paloma García Jefe de Telecomunicaciones y TI de Normalización AENOR Según la Ley 59/2003, de 19 de diciembre, de Firma electrónica, en su artículo 3.2 se indica «La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control». La Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de marzo 2011 196 diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica y la citada Ley 59/2003 establecen que la firma electrónica para ser considerada avanzada debe «haber sido creada utilizando medios que el firmante puede mantener bajo su exclusivo control», quedando sin definir ni en la Directiva ni en la Ley qué se incluye en «los medios que el firmante puede mantener bajo su exclusivo control», si bien se sobreentiende que estos son al menos, sus datos de creación de firma (la clave privada del firmante), es decir, el DNIe y su clave de acceso. La firma electrónica es un mecanismo clave en el desarrollo de la Sociedad de la Información, por ello y con el objetivo de contribuir a la mejora de la calidad de las aplicaciones de firma electrónica e incrementar la confianza de los usuarios en los servicios, tanto de carácter público como privado, para los que sea necesaria la firma electrónica con DNIe, en el año 2009 se comenzó el proceso de elevación de los perfiles de protección del DNIe a normas UNE. Este proceso se ha llevado a cabo en un grupo de trabajo coordinado por INTECO y constituido por expertos que forman parte del SC27, Subcomité dedicado a la seguridad de las tecnologías de protección de datos normas y d-tic a DNIe, garantía de seguridad en la firma electrónica la información, y que está ubicado en la estructura del comité nacional de AENOR CTN 71 “Tecnologías de la información”, cuya secretaría desempeña AMETIC. Cabe recordar que AENOR es la entidad legalmente responsable del desarrollo de las normas técnicas en España. Las normas, de aplicación voluntaria, indican cómo tiene que ser un producto o cómo debe funcionar un servicio para que sea seguro y responda a lo que el consumidor espera de él. En su elaboración, participan todas las partes implicadas en cada caso y son fruto del consenso, en un proceso marcado por la transparencia. Actualmente, el catálogo de normas de AENOR supera las 28.800. Estas futuras normas especifican los requisitos de seguridad para las aplicaciones de creación y verificación de firma electrónica que utilicen el DNIe como dispositivo seguro de creación de firma, tomando como referencia la Norma UNECWA 14169:2005 “Dispositivos seguros de creación de firma “EAL 4+”. Este documento normativo adopta el acuerdo de trabajo europeo CWA 14169 que fue reconocido por la Decisión de la Comisión Europea (2003/511/CE) como norma de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE; de este modo, aquellos dispositivos seguros de creación de firma que cumplan la Norma CWA 14169 se consideran conformes con el anexo III de la Directiva y con el artículo 24 de la Ley de Firma electrónica. Según la Norma UNE-CWA 14169 se establecen tres tipos de dispositivos seguros de creación de firma: – Tipo 1: dispositivos de generación de claves (pública y privada), y exporta las claves al tipo 2 – Tipo 2: dispositivos de almacenamiento de la clave privada y creación de la firma – Tipo 3: dispositivos que combinan las funcionalidades del tipo 1 y del tipo 2 y no exporta la clave privada. Los perfiles de protección en proceso de adopción como normas UNE son cuatro, dos correspondientes al Tipo 1, para las aplicaciones para plataformas de TI que permiten un control exclusivo de los interfaces con el firmante, como TDT y dispositivos portátiles tipo PDAs o teléfonos móviles: PNE 71510. Aplicaciones con Documento Nacional de Identidad Electrónico (DNIe). Creación y verificación de firma electrónica. Tipo 1 para plataformas TI que permiten un control exclusivo de los interfaces con el firmante, y con un nivel de garantía de evaluación «EAL1» PNE 71511. Aplicaciones con Documento Nacional de Identidad Electrónico (DNIe). Creación y verificación de firma electrónica. Tipo 1 para plataformas TI que permiten un control exclusivo de los interfaces con el firmante, y con un nivel de garantía de evaluación «EAL3» y dos para el Tipo 2 para ordenadores personales: PNE 71512. Aplicaciones con DNIe. Creación y verificación de firma electrónica. Tipo 2 para ordenadores personales, y con un nivel de garantía de evaluación «EAL1» PNE 71513. Aplicaciones con DNIe. Creación y verificación de firma electrónica. Tipo 2 para ordenadores personales, y con un nivel de garantía de evaluación «EAL3». 197 marzo 2011 Para ambos tipos se desarrollan los niveles de garantía de evaluación 1 y el 3, conocidos como «EAL1» y «EAL3». Los niveles de garantía se corresponden con las exigencias de la evaluación de los productos según lo establecido en las normas internacionales ISO/IEC 15408 “Criterios de evaluación de la seguridad de TI”, también conocidas como Common Criteria (CC). EAL1 permite una certificación rápida de los medios de firma, a la vez que garantiza el cumplimiento de las especificaciones de requisitos de seguridad incluidos en los perfiles de protección. EAL3 implica un aumento significativo de la garantía de seguridad al requerir pruebas más completas de la funcionalidad, mecanismos de seguridad y procedimientos que garantizan que no se comprometen los medios de firma durante su desarrollo. Por otro lado, es importante señalar que actualmente, se está dando respuesta al Mandato M/460 emitido en diciembre del 2009 por la Comisión Europea a los tres organismos de normalización europeos (CEN, CENELEC y ETSI), y según el cual se persigue el conseguir la interoperabilidad de la firma electrónica a nivel comunitario, a través del desarrollo de un marco de normalización para la firma electrónica en Europa. El Mandato establece la arquitectura del conjunto de normas necesarias, contemplando tras un primer inventario de lo existente, la revisión de algunas normas ya publicadas junto con la elaboración de normas en aspectos identificados como prioritarios.