the accesskey _ mod _ content

Legal basis for the electronic signature

Law 59 / 2003 of electronic signature

The basic legislation on electronic signature is reflected in the Law 59 / 2003 of 19th December of Electronic signature.

Art. 3.1) La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Moreover, the law distinguishes between two types of signature, ‘ advanced electronic signature ’ and ‘ electronic signature ’:

Art. 3.2) La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

(Art. 3.3) Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

According to the law, electronic signature es la única que puede ser considerada equivalente a la firma manuscrita:

(Art. 3.4) The electronic signature will take over disclosures in electronic form, the same value as the signature in a relationship with those contained in paper.

Pero ¿cómo conseguimos, en la práctica, que una firma electrónica sea reconocida y por tanto, equivalente a la firma manuscrita?

The Electronic Signature

Una firma electrónica reconocida debe cumplir las siguientes propiedades o requisitos:

  • Identify the signatory.
  • Check the integrity of the document signed.
  • Ensure the non-repudiation at source.
  • Count with the participation of a trusted third party.
  • Be based on an electronic certificate recognized.
  • Debe de ser generada con un dispositivo seguro de creación de firma.

Los 4 primeros puntos son posibles gracias al uso de las claves criptográficas contenidas en el certificado y a la existencia de una estructura de Autoridades de Certificación que ofrecen confianza en la entrega de los certificados. Pero según la Ley 59/2003, esos 4 puntos sólo nos ofrecen una firma avanzada.

Para que la firma electrónica sea equivalente a la manuscrita, es decir, que una Firma electrónica sea reconocida, debe además:

Based on a certificate Recognized

The certificate must have been recognized by the ministry of industry and commerce as authorized to create signatures and should be listed on its website as such.

You can see all certificates recognized by the MITyC in the direction https: / / sedeaplicaciones.minetur.gob.es / Suppliers /

Son certificados reconocidos porque tanto el prestador que los emite como el contenido mismo del certificado, cumplen con los requisitos declarados en el Capítulo II de la Ley 59/2003 de firma electrónica sobre Certificados reconocidos.

Be generated with a secure device signature

Las características de un dispositivo seguro de creación de firma están recogidas en el artículo 24 de la Ley 59/2003 de Firma Electrónica.

Mainly, the secure device must ensure that the keys are unique and secret, that the private key could not be deduced from the public and vice versa, that the author can protect reliably keys, not to disturb the contents of the original document and that the author can see what is going to sign.

From a technical point of view, according to Article 27 of the law 59 / 2003, a signature secure device must be certified as that meets the above features according to the technical standards published in decision 2003 / 511 / CE, 14 July 2003 the European commission.

  • El DNI Electrónico es considerado un de firma y por tanto, las firmas generadas con él, son reconocidas y tienen la misma validez que la firma manuscrita. ¿Son reconocidas las firmas generadas en el ordenador con un certificado software instalado en el navegador?
  • Since the computer is not a device sure creation of signing generated signatures are only advanced signatures as defined by the law.

Signature policy

Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo firmado, dentro de la firma, que específica una política explícita o implícita.

Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o verificada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado).

The purpose of a signature policy is to strengthen trust in the electronic transactions through a series of conditions for a given context, which can be a particular transaction, a legal regime or a role that take part signatory.

For example, the Signature policy for the overall management of the state (AGE) specifies the general conditions applicable to the electronic signature for validation, in the relationship electronic General Administration of the state with citizens and between bodies and entities of the AGE.

According to Article 24 of the Royal Decree 1671 / 2009 that develops partially law 11 / 2007 electronic access of citizens to public services, the policy of electronic signature and certificates in the area of the General administration of the state and its public authorities, is amounted da by the guidelines and technical standards applicable to the use of certificates and electronic signature within its scope.

Interoperability National schema (ENI)

The signature policy has an important role as defined rules and obligations of all the actors involved in the process of signing in specific contexts (contractual, legal, legal, …).

El Real Decreto 4/2010 por el que se regula el Esquema Nacional de Interoperabilidad establece que la política de firma electrónica y de certificados de la Administración General del Estado, servirá de marco general de interoperabilidad para la autenticación y el reconocimiento mutuo de firmas electrónicas dentro de su ámbito de actuación. También establece que dicha política podrá ser utilizada como referencia por otras Administraciones Públicas para definir las políticas de certificados y firmas a reconocer dentro de sus ámbitos competenciales.

National security scheme (NHIS)

The Royal Decree 3 / 2010 , de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene por objeto el establecimiento de los principios y requisitos de una security policy protection of information.

Well, the decree, in his article 33 also relegated to the policy of Signing the whole function processes finalizing generation, validation and conservation of electronic signatures, as well as the characteristics and requirements to systems of electronic signature, certificates, time-stamping, and other elements of support for signatures.

Moreover, the "in his 5.7.4 annex II point it is very specific about the types of signature that should be applied depending on the level of the information to be protected.

  • Low Level

    You can use any means of electronic signature of the specified in the current legislation.

  • Average

    The means used in the electronic signature will be provided to the qualification of the information treated. In any case:

    Accredited algorithms are used by the National PKIX Centre.

    • Be used, preferably, certificates recognized.
    • Secure devices will be used for signing.

    Will ensure verification and validation de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:

    • Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación.
    • Se protegerán la firma y la información mencionada en el apartado anterior con un time stamp .
    • El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b).
    • The electronic signature of documents by the administration annexed or it will index unambiguously the information described in the headings to) and (b).
  • High Level

    Apply security measures relating to electronic signature due on the average level, in addition to the following:

    • Certificates will be used.
    • Secure devices are used to create signature.
    • Be used, preferably, certified products [op.pl.5].

    The CCN-STIC-807 rule National PKIX centre provides in 5.7 what mechanisms and algorithms that can be used to sign depending on the level of information.

-