the accesskey _ mod _ content

Legal basis for the electronic signature

Law 59/2003 of electronic signature

The basic legislation on electronic signature is reflected in the Law 59/2003 of 19th December of Electronic signature.

Art. 3.1) La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Además, la Ley distingue entre dos tipos de firma, la ‘firma electrónica avanzada’ y la ‘firma electrónica reconocida’:

Art. 3.2) The advanced electronic signature is the electronic signature that allows you to identify the signatory and detect any subsequent change of signed data, which is linked to the signatory singly and data referred to and which has been created by means that the author may keep under its exclusive control.

(Art. 3.3) Is considered electronic signature recognized the advanced electronic signature based on a certificate recognized and generated through a secure device signature.

According to the law, electronic signature es la única que puede ser considerada equivalente a la firma manuscrita:

(Art. 3.4) La firma electrónica reconocida tendrá, respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.

Pero ¿cómo conseguimos, en la práctica, que una firma electrónica sea reconocida y por tanto, equivalente a la firma manuscrita?

The Electronic Signature

Una firma electrónica reconocida debe cumplir las siguientes propiedades o requisitos:

  • Identify the signatory.
  • Check the integrity of the document signed.
  • Ensure the non-repudiation at source.
  • Count with the participation of a trusted third party.
  • Be based on an electronic certificate recognized.
  • Debe de ser generada con un dispositivo seguro de creación de firma.

The 4 first points are possible thanks to the use of cryptographic keys contained in the certificate and the existence of a structure of certification Authorities offering confidence in the delivery of certificates. But according to the law 59/2003, these 4 points we only offer a signature advanced.

For the electronic signature is equivalent to the handwritten, i.e. an electronic signature is recognized, it must also:

Based on a certificate Recognized

El certificado debe haber sido reconocido por el Ministerio de Industria y Comercio como habilitado para crear firmas reconocidas y debe estar listado en su página web como tal.

Se pueden ver todos los certificados reconocidos por el MITyC en la dirección https :// sedeaplicaciones.minetur.gob.es/Suppliers/

Son certificados reconocidos porque tanto el prestador que los emite como el contenido mismo del certificado, cumplen con los requisitos declarados en el Capítulo II de la Ley 59/2003 de firma electrónica sobre Certificados reconocidos.

Be generated with a secure device signature

Las características de un dispositivo seguro de creación de firma están recogidas en el artículo 24 de la Ley 59/2003 de Firma Electrónica.

Principalmente, el dispositivo seguro debe garantizar que las claves sean únicas y secretas, que la clave privada no se puede deducir de la pública y viceversa, que el firmante pueda proteger de forma fiable las claves, que no se altere el contenido del documento original y que el firmante pueda ver qué es lo que va a firmar.

From a technical point of view, according to Article 27 of the law 59/2003, a signature secure device must be certified as that meets the above features according to the technical standards published in decision 2003/511/CE, 14 July 2003 the European commission.

  • The DNI is considered an Electronic signature and therefore, signatures generated with him, are recognized and has the same validity than the handwritten signature. do are recognized signatures generated in the computer with a certificate software installed in the browser?
  • Puesto que el ordenador no es un dispositivo seguro de creación de firma, las firmas generadas son sólo firmas avanzadas según la definición de la ley.

Signature policy

Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo firmado, dentro de la firma, que específica una política explícita o implícita.

Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o verificada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado).

La finalidad de una política de firma es reforzar la confianza en las transacciones electrónicas a través de una serie de condiciones para un contexto dado, el cual puede ser una transacción determinada, un régimen legal o un rol que asuma la parte firmante.

For example, the Signature policy for the overall management of the state (AGE) especifica las condiciones generales aplicables a la firma electrónica para su validación, en la relación electrónica de la Administración General del Estado con los ciudadanos y entre los órganos y entidades de la AGE.

According to Article 24 of the Royal Decree 1671/2009 that develops partially law 11/2007 electronic access of citizens to public services, the policy of electronic signature and certificates in the area of the General administration of the state and its public authorities, is constituted by the guidelines and technical standards applicable to the use of certificates and electronic signature within its scope.

Interoperability National schema (ENI)

La política de firma tiene una misión importante ya que define las reglas y obligaciones de todos los actores involucrados en el proceso de firma en determinados contextos (contractual, jurídico, legal,…).

The Royal Decree 4/2010 that regulates the schema interoperability National states that the policy of electronic signature and certificates of the General administration of the state, will serve as a general framework of interoperability for authentication and mutual recognition of electronic signatures within its scope. Also states that this policy may be used as a reference by other public administrations to define policies of certificates and signatures to recognize within their Areas of competence.

National security scheme (NHIS)

The Royal Decree 3/2010 , de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, tiene por objeto el establecimiento de los principios y requisitos de una security policy protection of information.

Well, the decree, in his article 33 también relega a la Política de Firma toda la función de concretar los procesos de generación, validación y conservación de firmas electrónicas, así como las características y requisitos exigibles a los sistemas de firma electrónica, los certificados, los servicios de sellado de tiempo, y otros elementos de soporte de las firmas.

Moreover, the "in his 5.7.4 annex II point it is very specific about the types of signature that should be applied depending on the level of the information to be protected.

  • Low Level

    Se puede emplear cualquier medio de firma electrónica de los previstos en la legislación vigente.

  • Average

    Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:

    Accredited algorithms are used by the National PKIX Centre.

    • Be used, preferably, certificates recognized.
    • Secure devices will be used for signing.

    Will ensure verification and validation de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:

    • Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación.
    • Se protegerán la firma y la información mencionada en el apartado anterior con un time stamp .
    • El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b).
    • La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes a) y b).
  • High Level

    Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en el nivel Medio, además de las siguientes:

    • Certificates will be used.
    • Secure devices are used to create signature.
    • Be used, preferably, certified products [op.pl.5].

    The CCN-STIC-807 rule National PKIX centre provides in 5.7 what mechanisms and algorithms that can be used to sign depending on the level of information.

Additional Policy notes

  • The European regulation 910/2014, 23 July, concerning electronic identification and services of confidence for electronic transactions in the internal market and repealing Directive 1999/93/CE, establishes the obligation to validate electronic certificates issued by any provider of European Confidence.
  • The rules of the regulation eIDAS development, implementation decision (HAT) 2015/1506 of 8 September 2015 laying down the specifications formats of advanced electronic signatures advanced and stamps that must recognize the public sector agencies in accordance with articles 27 (5, and 37 (5) of the Rules 910/2014, states that the member states must set the necessary technical means that enable them processed electronically signed documents that are necessary when using an online service offered by, or on behalf of, an agency of the public sector. For this defines a series of formats of advanced electronic signature that must admit technically member states when needed advanced electronic signatures for an administrative procedure online.
  • Article 47 of the royal decree 1671/2009, 6 November, that develops partially law 11/2007, of 22 June, electronic access of citizens to public services, establishes the need to incorporate a temporary reference administrative documents electronic, being one of the modalities of time reference, the ‘ 'time stamp, i.e. the allocation by electronic means of a date and time to an electronic document with the intervention of a certification service provider to ensure the accuracy and completeness of the timestamp of the document.
  • On the other hand, the Royal Decree 4/2010, of January 8th, that regulates the schema national of Interoperability in the field of E-government out in his article 22.4 which aspects of the electronic signature in the conservation of the electronic document will be established in the policy of electronic signature and certificates and through the use of long signature formats that preserve the conservation of signatures over time.
  • The preservation of signatures longevity over time are specified in the resolution of 19 July 2011, the secretariat of state for the public function, which approves the technical standard of interoperability of electronic signature Policy and certificates of the administration, in paragraph II.7 on the Archived and custody, which states that to ensure the reliability of an electronic signature over time, can be used: lived through the Signatures to add information on the state of the certificate associated, incorporating a time stamp as well as the certificates that comprise the trust chain.
  • The seal of time is an indispensable part of the electronic signature, especially in the case of signatures longevity, needing to be validated long after their generation.
  • Likewise the royal decree 3/2010, of January 8th, that regulates the national security Scheme in the area of E-government, in ANNEX II security measures, in subparagraph 5.7.4 on the electronic signature, specifies that for systems classified middle level in the dimensions of integrity and authenticity, the verification and validation of the electronic signature during the time required for administrative activity that it support, for which attach to the signature, or it will index, all relevant information for verification and validation, and protect the signature and the information referred to in the previous paragraph with a seal of time.