-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
1/30
Recomendaciones sobre el uso de los
sistemas de autenticacin en los
servicios electrnicos de la
Administracin pblica vasca
INFORME
Autor: Equipo de Innovacin - Sistemas de Autenticacin e Identificacin
Fecha de creacin: Vitoria-Gasteiz, 21/12/2010Fecha de revisin: 25/01/2011
Versin del documento: 01
Fichero: PIP-Grupo de Innovacion _Autenticacion _informe.doc
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
2/30
1}
ndice de contenido
1. Introduccin ............................................................................................................................................. 22. Descripcin del reto..................................................................................................................................43. Identificacin / Autenticacin .................................................................................................................. 54. Anlisis de algunos mecanismos de identificacin.................................................................................... 75. Tipos de servicios y nivel de identificacin requeridos ........................................................................... 136. Tipos de trmites y nivel de identificacin.............................................................................................. 167. Casos y ejemplos .................................................................................................................................... 188. Conclusiones........................................................................................................................................... 239. Anexo I: Grupo de Trabajo...................................................................................................................... 2710. Anexo II: Legislacin y documentacin .................................................................................................. 28
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
3/30
2}
1. Introduccin
La Ley 11/2007 de acceso electrnico de los ciudadanos a los servicios pblicos (LAECSP) establece
como un derecho de la ciudadana la posibilidad de comunicarse con la Administracin Pblica
mediante medios electrnicos. Se trata de una novedad verdaderamente importante, puesto que se
convierte en derecho lo que hasta ese momento era solo una opcin cuya puesta en funcionamiento
quedaba fundamentalmente en manos de la Administracin, y no de la ciudadana. La institucin de
este derecho implica, por tanto, para la Administracin, una obligacin: la de dotarse de instrumentos
que permitan la creacin de una ventanilla electrnica a travs de la cual cualquier persona se
pueda comunicar con la administracin cuando ella lo decida y desde donde ella quiera.
En este proceso de adaptacin progresiva se incluye la necesidad de utilizar medios de identificacin y
autenticacin que sean seguros, tanto para la Administracin como para la ciudadana.
Cuando se habla de medios de identificacin y autenticacin seguros habitualmente se habla decertificados digitales
1; en este aspecto, Espaa destaca sobre la media europea en nmero de DNIs
electrnicos emitidos, ya que actualmente supera los 10 millones de documentos. Sin embargo, el
nmero de ciudadanos que lo usan es, segn las ltimas estadsticas, es bastante reducido. Los
motivos de esta escasa utilizacin parecen ser:
La poca familiaridad de los ciudadanos con su uso Los problemas en su utilizacin (problemas a la hora de instalar los lectores y el software
necesario para su utilizacin, drivers, compatibilidad de navegadores, etc.).
Segn datos del INE del 2010 el uso de otros certificados de firma electrnica reconocidos es
considerablemente superior al de DNI electrnico, as en Euskadi aunque el 29,7 % de la poblacindispone de DNI electrnico solo el 3,4% lo usa para realizar tramitaciones por internet con la
Administracin Pblica, sin embargo el uso de otros certificados electrnicos reconocidos se eleva
hasta el 11,4%. Con esto se puede concluir que las campaas de difusin, formacin, asistencia en el
uso y la calidad de los servicios prestados por los prestadores de servicios de certificacin influyen
directamente en el uso de los certificados electrnicos por parte de los ciudadanos.
Dentro de los servicios pblicos digitales, en la actualidad, los titulares del DNI electrnico pueden
realizar ms de 1.000 actuaciones electrnicas con la Administracin. Sin embargo, Espaa, salvo en la
gestin de tributos, se encuentra por detrs de muchos otros pases en uso de la eAdministracin por
parte de la sociedad, lo que se debe a:
1. El retraso generalizado en el uso de las TICs de los usuarios2. La complejidad de algunos de los procedimientos electrnicos creados (se impone un
rediseo de algunos de los flujos o de la normativa que aplica a cada procedimiento, que en
su momento naci sin tener en cuenta la existencia de una va telemtica).
3. La escasa difusin que realizan las administraciones sobre los procedimientos disponiblesde forma telemtica.
4. La escasa disponibilidad en numerosas administraciones regionales y locales.
1 Un certificado digital es un documento firmado electrnicamente por un prestador de servicios de certificacin que vincula la identidad de cada usuariocon las herramientas de firma electrnica (claves criptogrficas), dndole a conocer como firmante en el mbito telemtico
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
4/30
3}
En relacin a la utilizacin de la firma electrnica, la mencionada Ley 11/2007 recoge el uso del DNI
electrnico para la tramitacin con la Administracin. Para que los ciudadanos soliciten y obtengan el
Certificado Digital es preciso que lo hagan a un Prestador de Servicios de Certificacin Electrnica. En
el mbito de la CAPV destacamos la extensin de distintos tipos de tarjetas de persona fsica concertificado electrnico, como son la tarjeta ONA, y tarjeta de ciudadano, que permiten la relacin con
las administraciones pblicas vascas y otros organismos a nivel estatal, en un extenso nmero de
trmites on line.
Tambin es necesario sealar que en el mbito empresarial, tanto pequea como mediana y gran
empresa, la firma electrnica reconocida est implantada en un alto grado, existiendo numerosos
proyectos donde la firma electrnica reconocida se ha utilizado como sistema de autenticacin con
xito, como por ejemplo, Proyecto IKS de Medio ambiente del Gobierno Vasco, presentacin de
impuestos con las tres diputaciones vascas, solicitud de ayudas para SPRI, etc.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
5/30
4}
Sistemas deautenticacin fciles de
usar, implantables en elcorto plazo y queofrezcan garantas
2. Descripcin del reto
En el contexto descrito anteriormente, el Plan de Innovacin Pblica (PIP), impulsado por la
Viceconsejera de Administracin Pblica del Gobierno Vasco, ha puesto en marcha un proyecto para
facilitar el acceso a los servicios de la e-administracin, para lo cual se pretenden buscar sistemas de
identificacin y autenticacin amigablespara el usuario final que, sin poner en peligro la relacin
entre usuario y Administracin, facilite a la ciudadana el uso de esos servicios electrnicos.
As pues, el reto consiste en proponer sistemas de identificacin y autenticacin complementarios a
la firma electrnica que cumplan los siguientes requisitos:
Que sean fciles de usar por parte de una persona sin queobligatoriamente tenga que tener grandes
conocimientos relacionados con las TICs
(Tecnologas de la Informacin y Comunicacin).
Que se puedan implantar en el corto plazo. Que ofrezcan garantas (de autenticidad, proteccin de
datos, etc.) en proporcin a las caractersticas y riesgos de
cada servicio.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
6/30
5}
3. Identificacin / Autenticacin
Cuando se habla de sistemas de identificacin y autenticacin es necesario definir previamente qu se
entiende por sistema de identificacin y autenticacin/autorizacin:
Se entiende por mecanismo de identificacin aquel del que se obtiene la identidad de una persona y
datos relacionados con la misma (ej nombre, direccin, telfono, etc) para ser utilizados en un servicio
on-line.
Es importante distinguir entre identificacin y autenticacin-autorizacin:
o Identificar. Se puede definir como reconocer si una persona o cosa es la misma que sesupone o se busca. (diccionario RAE)
o Autenticar podemos plantear dos definiciones:1. Es la acreditacin por medios electrnicos de la identidad de una persona o ente, del
contenido y voluntad expresa en sus operaciones, transacciones y documentos, y de
la integridad y autora de aquellos.
2. Procedimiento de comprobacin de la identidad de un usuario. Mediante el mismose garantiza que el usuario que accede a un sistema de ordenador es quin dice ser.
(diccionario jurdico Aranzadi).
Ejemplos de servicios on-line que necesitan identificar al tercero que interacta con el servicio:
BLOG Cuando un usuario hace un comentario en un BLOG, habitualmente se identifica para
que quede constancia de quin es ese usuario que hace el comentario (esto no es bice
para que tambin se puedan permitir comentarios annimos). Las herramientas para la
identificacin solo estn en manos del usuario que las crea. En muchos casos nocoincide con sus datos personales.
Algunos casos de
solicitud en una
tramitacin
En algunos casos las solicitudes no requieren autenticacin (pueden ser servicios on-
line libres o abiertos), sin embargo, si que es necesario aportar datos de la identidad
del solicitante.
En otros casos se requerir la firma electrnica reconocida.
Algunos casos de
Consulta de
expedientes o
carpeta personales
Cuando se trata de acceder a datos (Ej.: expediente, carpeta personal, , etc.), es
imprescindible identificar y adems autenticar.
Una vez identificado el tercero que quiere utilizar el servicio on-line hay que:
Identificarle y Autenticarle en el servicio-online: dar acceso al usuarioutilizando la identidad aportada.
Comprobar si est autorizado para consultar los datos a los que quiereacceder.
En otros casos se requerir la firma electrnica reconocida.
Como mecanismos de identificacin:
El DNI electrnico o la tarjeta ONA y la tarjeta ciudadano son mucho ms que mecanismos deidentificacin ya que aportan a un servicio on-line adems de informacin sobre la identidad
de una persona (nombre, dni, etc.), la posibilidad de realizar firma electrnica reconocida.
Una cuenta de una red social (Ej.: twitter, Facebook) tambin pueden ser utilizados comomecanismos para aportar datos de identidad, aunque obviamente estos datos son mucho
menos fiables.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
7/30
6}
Mecanismos de identificacin como el DNI electrnico, la tarjeta ONA y la tarjeta ciudadano que
adems de identificar, proporcionan otras funcionalidades:
Firmar electrnicamente, al realizarlo con un certificado de firma electrnica reconocido,equivaldr a la firma manuscrita.
Garantizar la autora y no repudio de documentos o acciones en servicios on-line Otros relacionados con la firma: sellados de tiempo.
En definitiva:
Un mecanismo de identificacin permite conocer la identidad ydatos asociados a esta del usuario que interacciona con un
servicio on-line.
A travs del certificado reconocido de firma electrnica a se garantiza
por un Prestador de Servicios de Certificacin Electrnica la
autenticidad, confidencialidad, integridad y no repudio.
La identidad puede ser utilizada para autenticar y posibilitar alusuario en el servicio on-line y discriminar qu puede ver y qu
puede hacer en el servicio.
En el escenario ms sencillo (y ms habitual), una vezidentificado de un usuario, se le autentica en el servicio
on-line y accediendo a sus datos.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
8/30
7}
4. Anlisis de algunos mecanismos de identificacinEn el presente punto se analizan algunos mecanismos de identificacin teniendo en cuenta:
Los mecanismos de identificacin analizados son los siguientes:
1 Usuario + contrasea
2 Usuario + Contrasea de identificacin + contrasea de firma (OTP2enviada al telfono mvil)
3 Usuario + Contrasea de identificacin + Contrasea (OTP generada en un dispositivo hardware)
4 Firma electrnica avanzada (certificados software)
5 Firma electrnica reconocida (certificados en tarjeta criptogrfica u otro dispositivo seguro de creacin
de firma)6 Usuario + contrasea de identificacin + contrasea de firma
7 Usuario + contrasea de identificacin + juego de barcos
Adems de estos mecanismos de identificacin (casi se puede hablar de tecnologas), merece la pena
estudiar otras estrategias de identificacin delegada basadas en convenioscon otras entidades que
son las responsables de identificar al usuario utilizando el mecanismo/tecnologa que consideren
oportuno- y de pasar la informacin de identificacin a la Administracin.
2OTP One Time Password contrasea de un solo uso
La contrasea es generada por algn sistema, utilizada y descartada para usos posteriores, es decir, en la siguiente operacin de identificacin se
genera una nueva contrasea.
Caractersticas deseguridad
Cmo de seguro es el sistema en cuanto a la custodia de claves? Es posible que alguien pueda suplantar a otra persona fcilmente?
Caractersticas deconfiabilidad
Cmo de confiables son los datos de identidad?, se puede fiar laadministracin de que quin se est identificando es quien dice
ser?Qu papel desempean los Prestadores de Servicios de
Certificacin Electrnica como terceros que dan fe en el mbito
telemtico o electrnico?
Retos delDespliegue
Cmo de fcil es el despliegue en la ciudadana de estos mecanismos de
autenticacin?
Posiblesutilizaciones(otros propsitos)
Los sistemas o mecanismos de identificacin se pueden utilizar para
diferentes propsitos:
Identificacin Obtener datos de la identidad de la persona: nombre,apellidos, direccin, DNI, telfono, otras direcciones de
contacto, etc.
Autenticacin Para permitir tcnicamente el acceso o no acceso aaplicaciones y los datos que obran en las mismas del
usuario.
Firma Para garantizar la autora y no repudio de determinadasoperaciones
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
9/30
8}
Dentro de estas estrategias de identificacin delegada se podran nombrar como ejemplos
paradigmticos:
8 Identificacin delegada a una entidad en la que se confa (Ej.: Entidad Financiera)
9 Identificacin delegada a una entidad en la que NO se confa (Ej.: red social)
A continuacin se analiza cada uno de estos mecanismos de identificacin en funcin de los
parmetros definidos anteriormente
4.1. Caractersticas de SeguridadEn este punto se analiza cmo de seguro es un sistema de identificacin como para evitar la
suplantacin de identidad. Se hace una divisin entre mecanismos de identificacin fuertes y dbiles
(ms seguros / menos seguros) en funcin del nmero de factores de seguridad que poseen:
Factores El nivel de seguridad de un sistema de identificacin depende delnmero de factores que intervienen y que se clasifican en:Algo que el usuario
es (biometra)
Huella dactilar, patrn retiniano, reconocimiento de
voz
Algo que el usuario
tiene
Tarjeta criptogrfica, token OTP (One time Passwordo
Clave de un nico uso), telfono mvil, tarjeta de
proximidad, banda magntica, certificados en
software
Algo que el usuario
sabe
Contrasea, frase, nmero de identificacin personal,
nmero PIN
Nivel Fuerte(ms seguro)
Se utilizan por lo menos dos de los tres factores
citados arriba. De este modo, si uno de los factores se
ve comprometido, todava existe un segundo factor
que garantiza la seguridad
Dbil
(menos seguro)
Se utiliza solo uno de los factores de autenticacin
4.2. Caractersticas de ConfiabilidadEn este punto se analiza cmo de confiable es un sistema de identificacin como para dar por buenoslos datos de la identidad. Se hace una divisin entre mecanismos de identificacin confiables y no
confiables:
Confiables Un mecanismo de identificacin puede ser confiable si se pueden dar porbuenos los datos del tercero que se identifica
Ej.: Para emitir el DNI o la ONA alguien ha validado fsicamente que el/la
solicitante es quien dice ser
NO confiable No se puede asegurar que la persona que se identifica y sus datos sonbuenos
Ej.: Un sistema de usuario / password donde el usuario se auto-registra (o
el usuario de una red social) NO es confiable ya que NO hay garanta deque la identidad corresponda a la persona que dice ser.
El nivel de seguridad de un
sistema depende del nmero de
factores que intervienen
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
10/30
9}
Hay que distinguir entreseguridad y confiabilidad
del mecanismo deidentificacin
Es importante sealar que aunque un sistema de identificacin
tenga una seguridad dbil (Ej.: usuario password), losdatos de la identificacin pueden ser confiables
Ej.: La identidad de un usuario que se ha autenticado con elusuario/password de la tarjeta ciudadana de Vitoria-Gasteiz es
confiable en el caso de que previamente haya identificado alciudadano?
4.3. Otras caractersticas analizadasRequisitos previos Tareas a realizar para implementar el sistema de autenticacin
No repudio Hace referencia a si el usuario negar la autora de una operacin (gestin) realizada
de forma telemtica.
Posibles valores:
S: El sistema de autenticacin garantiza el no repudio de la gestinrealizada telemticamente.
No: El sistema de autenticacin NO garantiza el no repudio de lagestin realizada telemticamente.
Firma manuscrita Posibles valores:
S: La firma electrnica realizada con el sistema de autenticacinequivale a la firma manuscrita.
No: La firma electrnica realizada con el sistema de autenticacinNO tiene la validez de la firma manuscrita.
lido en otras
entidades
Posibles valores:
S: El sistema de autenticacin es vlido en distintas entidades. No: El sistema de autenticacin solo es vlido en la entidad
propietaria.
Problemas Problemas en la implementacin y uso del sistema de autenticacinentajas Ventajas del sistema de autenticacin
4.4. Tabla de mecanismos de autenticacinA continuacin se resume el anlisis en base a los parmetros anteriores:
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
11/30
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
12/30
11}
A continuacin se analizan las ventajas y posibles problemas de cada uno de los sistemas de identificacin analizados:
Tipo deIdentificacin
Ventajas problemas
Usuario + Contrasea Uso sencillo. Olvido de contraseas. Necesidad de implementar un sistema de
recuperacin de contraseas.
Suplantaciones de identidad,phishing. No se pueden realizar trmites para los que
haga falta firma manuscrita.
Usuario + Contrasea
de identificacin +
Contrasea de firma
(OTP enviada al
telfono mvil)
Uso sencillo Olvido de contrasea de acceso. Acceso en consulta a datos poco seguro En menor medida, pero tambin es vulnerable
alphishing.
Necesidad de implementar un sistema derecuperacin de contraseas.
Necesidad de implementar un sistema OTP No se pueden realizar trmites para los que
haga falta firma manuscrita.
Usuario + Contrasea
de identificacin +
Contrasea de firma
(OTP generada en un
dispositivo hardware)
Uso sencillo Olvido de contrasea de acceso. Acceso en consulta a datos poco seguro En menor medida, pero tambin es vulnerable
alphishing.
Necesidad de implementar un sistema derecuperacin de contraseas.
Necesidad de implementar un sistema OTP Necesidad de distribuir un dispositivo
generador de claves OTP
No se pueden realizar trmites para los quehaga falta firma manuscrita.
Firma electrnica
avanzada
(certificados
software)
Emitidos por Prestadores de Certificacinque actan como terceros de confianza
para las dos partes.
Sistema con reconocimiento universal entodos los mbitos
No es posible la falsificacin de la firmaFuncionalidades adicionales: Cifrado de
datos, firma digital
Necesidad de instalacin de los certificados dela autoridad de certificacin.
No se pueden realizar trmites para los quehaga falta firma manuscrita.
Firma electrnica
reconocida
(certificados en
tarjeta criptogrfica uOtro dispositivo
seguro de creacin de
firma)
Ventajas de los certificados en software.Equivale a la firma manuscrita.Mayor nivel de seguridad al estar el
certificado albergado en un dispositivoseguro de creacin de firma.
Los soportes fsicos estn evolucionando(token USB, telfono mvil, memorias
SD) facilitando su uso
Necesidad de instalacin de los certificados de laautoridad de certificacin.
Necesidad de instalacin del lector de tarjetas. Necesidad de instalacin del software de acceso
al chip de la tarjeta.
Usuario + contrasea
de identificacin +
contrasea de firma
Uso sencillo. Olvido de contraseas. Suplantaciones de identidad No se pueden realizar trmites para los que
haga falta firma manuscrita.
Usuario + contrasea
de identificacin +
juego de barcos
Uso sencillo. Olvido de contrasea de acceso. Acceso en consulta a datos poco seguro. No se pueden realizar trmites para los que
haga falta firma manuscrita.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
13/30
12}
4.5. Retos del DespliegueEl despliegue de un sistema de identificacin plantea una serie de retos, entre otros:
Infraestructura que da soporte
al sistema de autenticacin
Cmo de costosa es la infraestructura que da soporte al
sistema?
Dispositivos en el cliente que se
identifica
Es necesario instalar algn tipo de hardware en el
equipo cliente que utiliza el ciudadano?
Cmo se distribuyen estos dispositivos?
Es necesaria formacin especfica?
Verificacin de identidades Cmo se verifica la identidad de la persona?
Ej.: Con la identificacin presencial segn los requerimientos
de la ley de firma electrnica.
Sistema de usuario / password donde el propio usuariose da de alta (dejar en manos del usuario todo el
proceso)
En principio si la identificacin que requiere un acto
presencial sera ms costosa, pero partimos del alto
nmero de identificaciones ya realizadas, por lo que por
otra parte estara ya realizada en parte. En el segundo
caso habra que estar al coste de las aplicaciones y sera
la menos segura.
Funcionalidades del mecanismo
de autenticacin
Qu actuaciones de ndole jurdico permite el sistema
desplegado? Permite la identificacin, autenticacin y
firma equivalente a la firma manuscrita?
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
14/30
13}
5. Tipos de servicios y nivel de identificacinrequeridos
1. Aspectos Jurdicos
Puede resultarnos esclarecedor, desde un punto de vista jurdico, lo establecido en la Ley 30/2007 de contratos
del sector pblico (en adelante LCSP). En su disposicin adicional decimonovena regula en empleo de los
medios electrnicos, informticos y telemticos y establece que stos se ajustarn entre otras a la siguiente
norma:
- (en el apartado f) Todos los actos y manifestaciones de voluntad de los rganos administrativos o delas empresas licitadoras o contratistas (es decir, tanto Administracin, como empresarios- personas
jurdicas- o personas fsicas) que tengan efectos jurdicos y se emitan tanto en fase preparatoria como
en las fases de licitacin, adjudicacin y ejecucin del contrato deben de ser autenticados mediante
una firma electrnica reconocida, de acuerdo a la Ley 59/2033, de 19 de diciembre, de firma
electrnica. Los medios electrnicos, informticos y telemticos empleados deben poder garantizar
que la firma se ajusta a las disposiciones de esta norma.
Si tenemos en cuenta, por lo tanto, las disposiciones de la Ley de Firma Electrnica, respecto de la firma
reconocida, en su artculo
Artculo 3. Firma electrnica, y documentos firmados electrnicamente.
1. La firma electrnica es el conjunto de datos en forma electrnica, consignados junto a otros o
asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante.
2. La firma electrnica avanzada es la firma electrnica que permite identificar al firmante y detectar
cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de manera nica y a los
datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su
exclusivo control.
3. Se considera firma electrnica reconocida la firma electrnica avanzada basada en un certificado
reconocido y generada mediante un dispositivo seguro de creacin de firma.
4. La firma electrnica reconocida tendr respecto de los datos consignados en forma electrnica el
mismo valor que la firma manuscrita en relacin con los consignados en papel.
Por lo tanto la firma electrnica reconocida se caracteriza por:
- Es una firma electrnica avanzada (permite identificar al firmante y detectar cualquier cambio ulteriorde los datos firmados, que est vinculado al firmante de manera nica y a los datos a que se refiere yha sido creada por medios que el firmante puede mantener bajo su exclusivo control)
- BASADA EN UN CERTIFICADO RECONOCIDO:Artculo 11.Concepto y contenido de los certificados reconocidos.
1. Son certificados reconocidos los certificados electrnicos expedidos por un prestador de servicios de
certificacin que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobacin de la identidad y
dems circunstancias de los solicitantes y a la fiabilidad y las garantas de los servicios de certificacin que
presten.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
15/30
14}
2. Los certificados reconocidos incluirn, al menos, los siguientes datos:
a. La indicacin de que se expiden como tales.b.
El cdigo identificativo nico del certificado.c. La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio.
d. La firma electrnica avanzada del prestador de servicios de certificacin que expide el certificado.e. La identificacin del firmante, en el supuesto de personas fsicas, por su nombre y apellidos y su
nmero de documento nacional de identidad o a travs de un seudnimo que conste como tal de
manera inequvoca y, en el supuesto de personas jurdicas, por su denominacin o razn social y su
cdigo de identificacin fiscal.
f. Los datos de verificacin de firma que correspondan a los datos de creacin de firma que seencuentren bajo el control del firmante.
g. El comienzo y el fin del perodo de validez del certificado.h. Los lmites de uso del certificado, si se establecen.i. Los lmites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.
3. Los certificados reconocidos podrn asimismo contener cualquier otra circunstancia o atributo especfico del
firmante en caso de que sea significativo en funcin del fin propio del certificado y siempre que aqul lo solicite.
- Y Generada en un dispositivo seguro de creacin de firma.Se entiende con estas caractersticas que la LCSP se refiera a la firma electrnica reconocida como instrumento
ms garantista, seguro y fiable, a la hora de tener en cuenta el desarrollo de las distintas manifestaciones y
actos que se pueden dar en las fases preparatoria, de licitacin, adjudicacin y ejecucin de los contratos, lo
que supone un gran nmero de acciones que se pueden dar a lo largo del procedimiento contractual.
Eso no sirve de referencia a la hora de aplicarlo a otras materias que regulan relaciones entre
ciudadanos/empresas- y Administracin, teniendo en cuenta los potenciales efectos jurdicos que puedan
conllevar las actuaciones, manifestaciones, actos etc.
En el caso de los certificados reconocidos, que caracterizan a la emisin de firma electrnica reconocida, el
aspecto fundamental es el hecho de que un tercero Prestador de Servicios de Certificacin Electrnica, cuya
actividad la regula las disposiciones de la Ley de Firma Electrnica, es el garante o tercero de confianza que da
fe virtual del firmante, Prestador que lo expide, datos de verificacin de firma, periodo de validez del
certificado, etc. Cumpliendo los principios bsicos de la firma electrnica:
Autenticidad: ciudadanos y administracin aseguran su respectiva identidad. Confidencialidad: nadie que no sea una de las partes de la relacin puede acceder a su
contenido.
Integridad: nadie que no sea parte de la relacin puede manipular o alterar sucontenido.
No repudio: ninguna de las partes puede negar que la transaccin se realiz en unmomento concreto y con unos contenidos especficos.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
16/30
15}
Quin emite los certificados Reconocidos?. Los Prestadores de Servicios de Certificacin Electrnica, que se
regulan segn lo dispuesto en la Ley 59/2003 de Firma Electrnica, como terceros de confianza. La leyestablece quienes sern prestadores y entre otras, las obligaciones que deben de cumplir para aquellos que
emitan certificados reconocidos:
Artculo 20. Obligaciones de los prestadores de servicios de certificacin que expidan certificados reconocidos.
Los prestadores de servicios de certificacin que expidan certificados reconocidos debern cumplir las siguientes
obligaciones:
a. Demostrar la fiabilidad necesaria para prestar servicios de certificacin.b. Garantizar que pueda determinarse con precisin la fecha y la hora en las que se expidi un certificado o
se extingui o suspendi su vigencia.
c. Emplear personal con la cualificacin, conocimientos y experiencia necesarios para la prestacin de losservicios de certificacin ofrecidos y los procedimientos de seguridad y de gestin adecuados en el
mbito de la firma electrnica.
d. Utilizar sistemas y productos fiables que estn protegidos contra toda alteracin y que garanticen laseguridad tcnica y, en su caso, criptogrfica de los procesos de certificacin a los que sirven de
soporte.
e. Tomar medidas contra la falsificacin de certificados y, en el caso de que el prestador de servicios decertificacin genere datos de creacin de firma, garantizar su confidencialidad durante el proceso de
generacin y su entrega por un procedimiento seguro al firmante.
f. Conservar registrada por cualquier medio seguro toda la informacin y documentacin relativa a uncertificado reconocido y las declaraciones de prcticas de certificacin vigentes en cada momento, al
menos durante 15 aos contados desde el momento de su expedicin, de manera que puedan
verificarse las firmas efectuadas con el mismo.
g. Utilizar sistemas fiables para almacenar certificados reconocidos que permitan comprobar suautenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los
supuestos o a las personas que el firmante haya indicado y permitan detectar cualquier cambio que
afecte a estas condiciones de seguridad.
2. Los prestadores de servicios de certificacin que expidan certificados reconocidos debern constituir un seguro
de responsabilidad civil por importe de al menos 3.000.000 de euros para afrontar el riesgo de la responsabilidad
por los daos y perjuicios que pueda ocasionar el uso de los certificados que expidan.
5.1. ResumenLa Administracin, en funcin de los efectos jurdicos, deber establecer claramenteaquellos actos o trmites en los que se puedan utilizar medios de identificacin o
autenticacin con unos requerimientos de seguridad menores que la firma electrnica
reconocida.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
17/30
16}
Adaptar el nivel deseguridad del sistemade autenticacin a lasgarantas requeridas
por cada trmite.
6. Tipos de trmites y nivel de identificacin
En los trmites presenciales siempre se recurre al DNI/Pasaporte/Carnet de conducir para identificar
al ciudadano y a la firma manuscrita como frmula de autenticacin-autorizacin, por su garanta y la
sencillez de uso.
Sin embargo, el equivalente en los trmites electrnicos los certificados
digitales pueden ofrecer ciertas dificultades que limitan su uso. Para
superar esta limitacin se pueden utilizar otros sistemas de
identificacin cuyo uso sea ms sencillo, siempre que se garanticen los
requerimientos a nivel jurdico establecidos para el trmite en cuestin.
Incluso dentro de un mismo Procedimiento Administrativo, en cada uno
de los trmites debera ser posible utilizar uno u otro mecanismos de
identificacin
A modo de ejemplo prctico, a continuacin se recogen una serie de trmites bsicos y habituales
dentro de la Administracin y se estudia el nivel de autenticacin ms adecuado para cada uno de
ellos.
Recordar que anteriormente se analizaron los sistemas de identificacin y se estableci la
siguiente clasificacin de los mismos:
Sistema de identificacin Seguridad Confiabilidad Firma y norepudio
1 Usuario + contrasea Dbil NormalmenteNO confiableaunque
depende
NO
2 Usuario + Contrasea de identificacin + contrasea defirma (OTP enviada al telfono mvil)
Fuerte Confiable* NO
3 Usuario + Contrasea de identificacin + Contrasea (OTPgenerada en un dispositivo hardware)
Fuerte Confiable* NO
4 Firma electrnica avanzada (certificados software) Avanzada Confiable* SI
5 Firma electrnica reconocida (certificados en tarjetacriptogrfica u otro dispositivo seguro de creacin de firma)
Avanzada Confiable* SI
6 Usuario + contrasea de identificacin + contrasea de firma Dbil Confiable* NO
7 Usuario + contrasea de identificacin + juego de barcos Fuerte Confiable* NO
* Se consideran confiables ya que son sistemas de autenticacin en los que las entidades propietarias
han realizado identificaciones presenciales de los usuarios.
Las familias de procedimientos que se han tenido en cuenta son:
Ayudas y subvenciones Autorizaciones y registro Contratacin Sanciones Arbitraje denuncias y reclamaciones.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
18/30
17}
Y los trmites comunes considerados en los procedimientos anteriores son:
Trmite Seguridad mnimaEs necesaria la
identificacin presencial
previa
Se requiere firmaelectrnica reconocida
Solicitud y aportacin de documentacin Dbil (en algunos
procedimientos) /
Fuerte
En algunos
procedimientos
En algunos
procedimientos
Modificacin de datos de notificacin Fuerte S S
Aportacin de documentacin al
expediente
Dbil (en algunos
procedimientos) /
Fuerte
S En algunos
procedimientos
Obtener informacin / realizar consultas Dbil (en algunos
procedimientos) /
Fuerte
S En algunos
procedimientos
Consultar el detalle del expediente Fuerte S S
Realizar pagos Dbil S No
Recoger notificaciones Fuerte S S
Recoger comunicaciones Dbil S No
Solicitar aplazamientos Fuerte S S
Realizar desistimientos y renuncias Fuerte S S
Certificaciones Fuerte S S
Presentar alegaciones o recursos Fuerte S S
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
19/30
18}
7. Casos y ejemplos
Se detallan a continuacin algunos ejemplos de autenticacin e identificacin de otras
Administraciones y entidades bancarias:
7.1. Administracin Pblica7.1.1. Seguridad Social
La Seguridad Social, en su Sede Electrnica, ofrece diferentes servicios en funcin del sistema de
identificacin:
Acceso a la
sede
electrnica
Servicios
ofrecidos enfuncin del
sistema de
identificacin
Ejemplo de
acceso a un
servicio sin
identificacin
Una vez validados los datos en la Seg. Social se procede con el trmite enviando la
informacin al domicilio del solicitante
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
20/30
19}
7.1.2. Generalitat de CatalunyaAcceso a servicios
Consulta del estado
de un expediente
NO es necesaria
identificacin; basta
con tener el
identificador del
expediente
Carpeta Ciudadana
Dos sistemas de
acceso:
Certificado DigitalUsuario / contrasea
(ser sustituido
prximamente por
certificado digital)
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
21/30
20}
7.1.3. Ayuntamiento de Vitoria-GasteizAcceso a los trmites
Dos modos de acceso:
Certificado DigitalTarjeta municipal
ciudadana
Identificacin
mediante usuario y
contrasea
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
22/30
21}
7.1.4. Departamento de Hacienda de la Diputacin Foral de Gipuzkoa
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
23/30
22}
7.2. Entidad Financiera: Vital, Kutxa, BBK y BBVAUsuario y Contraseao certificado digital (DNI
/ ONA / Izenpe)
Vital, Kutxa, BBK y
BBVA
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
24/30
23}
8. Conclusiones
El sistema de autenticacin empleado en un servicio telemtico no debe suponer un freno para su uso,
por lo tanto para promover la tramitacin electrnica es necesario utilizar sistemas de autenticacin
sencillos (amigables) para la ciudadana, siempre que garanticen de una manera proporcional la
seguridad de los actos telemticos (contemplando, entre otras, la Ley Orgnica de Proteccin de Datos
y su Reglamento de Desarrollo).
De esto se deduce que los Responsables de poner en marcha nuevos servicios electrnicos debern
estudiar y utilizar sistemas de autenticacin menos exigentes en funcin del trmite a realizar que lo
realizado hasta ahora, todo ello, en aras de fomentar el uso de los servicios telemticos.
Los sistemas de autenticacin basados en firma digital y certificados electrnicos son considerados
actualmente como los ms seguros y los que garantizan de manera ms fiable la identidad yautenticacin de la persona usuaria, ya que es el nico que garantiza el no repudio, siendo la firma
electrnica equivalente a la firma manuscrita.
Sin embargo, a pesar del alto nivel de distribucin, (10 millones de DNIs electrnicos distribuidos, y
270.000 certificados de ciudadano emitidos por IZENPE) a fin de conseguir unos niveles de uso
mayores, se ve necesario una evolucin de los dispositivos hardware y software actuales necesarios
para su uso, acompaados por campaas de divulgacin y formacin que acerquen estos nuevos
sistemas y los ya existentes (tarjeta criptogrfica) a la sociedad. Se ha llegado a la conclusin de que el
principal obstculo actualmente para la difusin de la firma electrnica es la necesidad de instalar
software y hardware adicional en los equipos informticos del usuario, en concreto, el lector de
tarjetas (que es el dispositivo que posibilita la lectura del certificado). Este hecho supone una traba
adicional para las personas que quieren hacer uso de los servicios de la Administracin, sobre todo si
el nivel de informatizacin del usuario es escaso y no existen canales de soporte y ayuda adecuados.
Adems, la frecuencia de uso de muchos de los trmites no suele ser elevada, con lo que se aade la
problemtica del olvido de contraseas y del propio uso.
Para conseguir un incremento en el uso de los servicios telemticos (objetivo final del Plan de
Innovacin Pblica, PIP) adems de evolucionar los sistemas de autenticacin, y realizar campaas de
difusin y formacin de los soportes actuales (tarjeta criptogrfica), el Grupo de Trabajo considera
necesario que dichos servicios telemticos se den a conocer a los ciudadanos, se encuentren
accesibles, sean amigables para el usuario y sean fiables.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
25/30
24}
En funcin de todo lo comentado en los apartados anteriores, el equipo de innovacin traslada las
siguientes propuestas que pueden ser el punto de partida para mejorar el acceso de la sociedad a la
eAdministracin:
Relacionadas con la identificacin:
Adecuar la fortaleza del mecanismo de identificacin en funcin de los trmites. Utilizarpara cada trmite electrnico sistemas de autenticacin cuyas garantas sean proporcionales
a las requeridas por el propio trmite en varios aspectos: la seguridad del acceso al dato, la
garanta requerida de identificacin y el riesgo de un acceso indebido o un repudio. Los
sistemas menos seguros son tambin los ms sencillos y su utilizacin facilitar el acceso a la
eAdministrcain a un mayor nmero de personas, no obstante, por ejemplo en el sistema de
usuario/contrasea considerado como un sistema de identificacin sencillo, habra que
tener en cuenta que plantea otros problemas como olvido de contraseas, gestin de
mltiples contraseas, lo cual cuestiona su sencillez inicial.
A continuacin mencionamos slo los mtodos de identificacin ms significativos:
o Sin autenticacin (no se solicitar identificacin a no ser que sea estrictamentenecesario);
o Autenticacin dbil o fuerte (se proponen varios mtodos de identificacin):- usuario/contrasea- se podra usar la autenticacin utilizando las entidades financieras como
terceros de confianza;
- certificado;o Firma electrnica reconocida (en sus mismos formatos, ONA, DNIe, Token USB...)
Utilizar otras entidades como terceros de identificacin (entidades financieras, compaastelefnicas, o similares) a la hora de validar la identificacin de la persona usuaria. Este punto
implicara realizar acuerdos (convenios) con esas entidades, tal y como ya se ha realizado con
la Pasarela de Pagos.
Potenciar el papel de la entidad Izenpe (prestador de servicios de certificacin electrnica) ala hora de poner en marcha nuevas iniciativas, nuevos servicios electrnicos de las
Administraciones pblicas vascas, as como nuevos sistemas de identificacin.
Relacionadas con el hardware y software asociados a los certificados:
Implantar nuevos sistemas de autenticacin como pueden ser, por ejemplo, el telfono mvil(con certificado incluido), los token usb, tarjeta de juego de barcos, etc. En ese sentido, y
segn distintos estudios, stos nuevos sistemas pueden sustituir, o complementar, a corto o
medio plazo a los sistemas actuales (tarjetas criptogrficas) debido principalmente a su
amplia difusin (especialmente en el caso del telfono mvil) y, por lo tanto, su familiaridad
por parte del usuario final. Actualmente, adems, estos sistemas ya nos garantizan la
seguridad exigida por la normativa vigente.
Fomentar, debido su elevada distribucin, el uso del certificado electrnico en soporte detarjeta criptogrfica, , realizando campaas de difusin y formacin utilizando por ejemplo la
red de centros KZGUNEA.
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
26/30
25}
Relacionadas con la difusin de los sistemas de acceso electrnico dentro de la administracin:.
Promover el uso de los certificados de firma electrnica entre el personal interno(funcionariado) de la administracin vasca a la hora de tramitar los procesos internos de la
misma. (p.ej.: solicitar y aceptar comisiones de servicios; realizar peticiones de traducciones;
cumplimentar la justificacin de horario...). De esta forma el personal interno se convertira
en agente difusor del uso de estos nuevos medios.
Desarrollar un aplicativo comn con el sistema de acceso para todos los servicios electrnicosde la Administracin de la CAPV y que contara con las diferentes formas de acceso
(usuario/password, certificado, mediante un tercero certificador) para su uso por parte de
todas las administraciones interesadas, con vistas a una racionalizacin de los recursos, una
unificacin en los criterios de uso y un nico gestor del sistema de acceso.
Apoyar la creacin de proyectos pilotos para la divulgacin y puesta en marcha de nuevasiniciativas que permitan la divulgacin de los servicios electrnicos y los nuevos sistemas de
autenticacin en mbitos internos (concursos internos del Gobierno, etc.)
Relacionadas con la difusin de los sistemas de acceso electrnico fuera de la administracin:
Realizar campaas de difusin, centrndonos en los servicios y las ventajas que ofrece elacceso telemtico para la sociedad. En este sentido, es conveniente desarrollar un buen Plan
de Gestin del Cambio. Para ello, se podra seguir el modelo plasmado en el Metodologa
de Gestin del Cambio para proyectos PLATEA: identificacin de lderes, facilitadores, etc.
Apoyar la formacin de proyectos pilotos para la divulgacin y puesta en marcha de nuevasiniciativas que permitan (y hagan familiarizarse a la ciudadana con los nuevos servicios de la
eAdministracin) la divulgacin de los servicios electrnicos y los nuevos sistemas de
autenticacin; en mbitos externos (OPEs del IVAP, etc.). Asimismo, permitirn identificar
dificultades o necesidades de la ciudadana para facilitar posteriormente una mayor
divulgacin de estos sistemas.
Relacionadas con la legislacin vigente:
Modificar y adecuar el Decreto 232/2007, de 18 de diciembre, por el que se regula lautilizacin de medios electrnicos, informticos y telemticos (MEIT) en los procedimientos
administrativos (as como toda la normativa derivada) para su adaptacin a las nuevas
propuestas recogidas en este documento. Se tratara de permitir que la forma de acceso a un
servicio electrnico sea proporcional al nivel de proteccin de los datos a los que se accede, alas garantas de identidad requeridas y al riesgo de un acceso indebido en cada trmite.
Estableciendo, por ejemplo, la obligatoriedad del uso de la firma electrnica reconocida
nicamente en trmites que requieran altas garantas de identificacin y no repudio.
Relacionadas con la presentacin de los servicios a la ciudadana:
Revisar el diseo de las aplicaciones webs actuales (y sus sistemas de acceso y validacin delas mismas) para que contemplen distintas vas de validacin y/o autenticacin: habilitando e
informando a la persona que acceda a la aplicacin (cuando as corresponda) las opciones o
trmites que podr realizar en cada momento o en funcin de su perfil. Asimismo,
dependiendo del tipo de tramitacin o del momento de la misma se podran habilitar
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
27/30
26}
sistemas mixtos. P.ej. se comienza con identificacin dbil y en algn momento se puede
cambiar a certificado.
Implantar un sistema de acceso nico (portal) para todos los trmites del Gobierno Vascotanto telemticos como no telemticos, ordenados tanto por Departamento, como por tema,
en el que la persona usuaria pueda elegir el que ms le conviene.
o Antes de entrar al trmite se le informar de lo que se va a encontrar y de losrequisitos para su tramitacin (si necesita usuario / password, ONA, DNI, etc.)
o En el acceso a cada trmite se le solicitara el nivel de identificacin adecuado almismo.
Los mdulos de software creados para los distintos sistemas de validacin se podranutilizar en cada uno de los trmites necesarios. Asimismo estos mdulos de software
podran ser utilizados por las entidades que los necesitaran, de esta forma se optimizan los
recursos.
La creacin de este sistema de acceso nico para todos los servicios electrnicos de laAdministracin de la CAPV permitira crear un sistema amigable, ya que hara que el
usuario siempre se encontrara con la misma pantalla de identificacin para cualquier
trmite con la Administracin. Esta pantalla de identificacin ofrecera al usuario las
distintas alternativas de identificacin consensuadas por las Administraciones Publicas y en
funcin del sistema de identificacin elegido el usuario podra realizar unos trmites u otros.
Igualmente, evitara a los Departamentos y Organismos Autnomos del Gobierno Vasco (y
entidades dependientes), la realizacin de sus propios sistemas de acceso e identificacin,
con el consiguiente ahorro de costes y unificacin de criterios de uso. Se pueden tomar
como ejemplo los siguientes: Generalitat de Catalua, Ayuntamiento de Vitoria-Gasteiz,
Departamento de Hacienda de la Diputacin Foral de Gipuzkoa.)
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
28/30
27}
9. Anexo I: Grupo de Trabajo
Las reuniones celebradas por los miembros del Grupo de Trabajo han sido las siguientes:
24/noviembre/2010 02/diciembre/2010 16/diciembre/2010 22/diciembre/2010
Y la relacin de las personas que han participado en dicho Grupo, encargado de elaborar este informe,
han sido las siguientes:
Nombre Entidad
Jos Ramn Guinea DIAE
Pablo Prez DIT
Iosu Uribe IVAP
Cristina Jan IVAP
Alejandro Lara EJIE
Jess M Igartua Izenpe
Silvia Pagola Izenpe
Roberto Cacho Bizigune
Alfredo Alday3 O-satek
3
Acudi como invitado especial para informar a los miembros del grupo de trabajo sobre las principales caractersticasdel proyecto O-sarean de Osatek (reunin realizada el 16 de diciembre)
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
29/30
28}
10. Anexo II: Legislacin y documentacin
Se recoge a continuacin relacin de documentos normativos (leyes, decretos y dems normas) que se
han consultado o se han tenido en cuenta a la hora de abordar el desarrollo de este trabajo.
10.1.Legislacin Estatal Orden PRE/878/2010, de 5 de abril, por la que se establece el rgimen del sistema de direccin
electrnica habilitada previsto en el artculo 38.2 del Real Decreto 1671/2009, de 6 de
noviembre. (BOE 12-04-2010)
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional deInteroperabilidad (ENI) en el mbito de la Administracin Electrnica. (BOE 29-01-2010). (Texto
consolidado por el BOE)
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS)en el mbito de la Administracin Electrnica. (BOE 29-01-2010). (Texto consolidado por el BOE)
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos
(LAECSP). (BOE 18-11-2009).
Real Decreto 899/2009, de 22 de mayo, por el que se aprueba la carta de derechos del usuario delos servicios de comunicaciones electrnicas. (BOE 30-05-2009)
Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin. (BOE29-12-2007). (Texto consolidado por el BOE)
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos.(BOE 23-06-2007). (Texto consolidado por el BOE)
Real Decreto 1163/2005, de 30 de septiembre, por el que se regula el distintivo pblico deconfianza en los servicios de la sociedad de la informacin y de comercio electrnico, as como
los requisitos y el procedimiento de concesin. (BOE 08-10-2005)
Real Decreto 589/2005, de 20 de mayo, por el que se reestructuran los rganos colegiadosresponsables de la Administracin electrnica. (BOE 28-05-2005). (Texto consolidado por el BOE)
Ley 59/2003, de 19 de diciembre, de firma electrnica. (BOE 20-12-2003). (Texto consolidado porel BOE)
Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificacionestelemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de
certificados por los ciudadanos. (BOE 28-02-2003) (Texto consolidado por el BOE)
Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin y de comercioelectrnico. (BOE 12-07-2002). (Texto consolidado por el BOE)
-
8/3/2019 Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin p
30/30
29}
10.2.Legislacin Autonmica Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad Pblica y
de Creacin de la Agencia Vasca de Proteccin de Datos.
Orden de 26 de febrero de 2010, de la Consejera de Justicia y Administracin Pblica aprobandoel Manual de Seguridad PLATEA.
Orden de 15 de enero de 2009, de la Vicepresidenta del Gobierno, por la que se regula elrgimen de admisin de los certificados electrnicos.
Decreto 108/2004, de 8 de junio , del Modelo de Presencia en Internet de la AdministracinPblica de la Comunidad Autnoma de Euskadi.
Orden de 11 de abril de 2008, de la Consejera de Hacienda y Administracin Pblica, queestablece el registro y cobro automatizados de los ingresos de derecho pblico de laAdministracin General de la Comunidad Autnoma de Euskadi y de sus Organismos Autnomos
a travs del Sistema Integral de Pagos y Cobros de la Administracin.
Orden de 11 de abril de 2008, de la Consejera de Hacienda y Administracin Pblica, reguladoradel servicio de colaboracin en la gestin recaudatoria de la Hacienda General del Pas Vasco.
Orden de 11 de abril de 2008, de la Consejera de Hacienda y Administracin Pblica, reguladoradel pago de ingresos de derecho pblico de la Hacienda General del Pas Vasco a travs de la
Pasarela de Pagos.
Decreto 72/2008, de 29 de abril, de creacin, organizacin y funcionamiento de los registros de laAdministracin General de la Comunidad Autnoma de Euskadi y sus Organismos Autnomos.
Decreto 232/2007, de 18 de diciembre, por el que se regula la utilizacin de medios electrnicos,informticos y telemticos en los procedimientos administrativos
Resolucin de 9 de febrero de 2006, de la Directora de Informtica y Telecomunicaciones,aprobando el documento que establece la Plataforma Tecnolgica para la E-Administracin
(PLATEA).