Sinadura elektronikoari buruzko oinarrizko legeria Abenduaren 19ko 59/2003 Legea, Sinadura Elektronikoarena.
Art. 3.1) Sinadura elektronikoa forma elektronikoan dauden datuen multzoa da. Datu horiek beste batzuekin batera edo haiekin lotuta daude, eta sinatzailea identifikatzeko erabil daitezke.
Gainera, legeak bi sinadura-mota bereizten ditu: ‘sinadura elektroniko aurreratua’ eta ‘sinadura elektroniko balioztatua’:
Art. 3.2) Sinadura elektroniko aurreratuak aukera ematen du sinatzailea identifikatzeko eta sinatutako datuen ondorengo edozein aldaketa atzemateko. Aldaketa hori sinatzaileari eta dagozkion datuei lotuta dago, eta sinatzaileak bere kontrolpean izan ditzakeen bitartekoen bidez sortu da.
(Art. 3.3) Sinadura elektroniko balioztatutzat hartzen da onartutako ziurtagiri batean oinarritutako eta sinadura sortzeko gailu seguru baten bidez sortutako sinadura elektroniko aurreratua.
Legearen arabera, sinadura elektroniko balioztatua hau da eskuz idatzitako sinaduraren baliokidetzat har daitekeen bakarra:
(Art. 3.4) Sinadura elektroniko balioztatuak, modu elektronikoan jasotako datuei dagokienez, eskuz idatzitako sinaduraren balio bera izango du, paperean jasotako datuei dagokienez.
Baina nola lortzen dugu, praktikan, sinadura elektroniko bat aintzatestea eta, beraz, eskuz idatzitako sinaduraren baliokidea izatea?
Sinadura elektroniko aitortu batek ezaugarri edo baldintza hauek bete behar ditu:
Lehenengo 4 puntuak honako hauen erabilerari esker lor daitezke: gako kriptografikoak ziurtagirian jasotakoak eta egitura hau dutenak: Ziurtapen-agintariak ziurtagiriak emateko konfiantza eskaintzen dutenak. Baina 59/2003 Legearen arabera, 4 puntu horiek sinadura aurreratu bakarra eskaintzen digute.
Sinadura elektronikoa izan dadin: eskuizkribuaren baliokidea, hau da, sinadura elektroniko bat aitortua izateak, gainera, honako hau ere egin behar du:
Industria eta Merkataritza Ministerioak aintzatetsitako sinadurak sortzeko gaituta dagoela aitortu behar du ziurtagiriak, eta bere web orrian hala zerrendatuta egon behar du.
MITyC-k aitortutako ziurtagiri guztiak helbide honetan ikus daitezke: Zerbitzu elektronikoen hornitzaile fidagarrien zerrenda
Ziurtagiri aitortuak dira, bai horiek ematen dituen emaileak, bai ziurtagiriaren edukiak berak betetzen dituztelako aitortutako ziurtagiriei buruzko sinadura elektronikoari buruzko 59/2003 Legearen II. kapituluan aitortutako baldintzak.
Sinadura sortzeko gailu seguru baten ezaugarriak Sinadura Elektronikoari buruzko 59/2003 Legearen 24. artikuluan daude jasota.
Batez ere, gailu seguruak hauek bermatu behar ditu: gako bakarrak eta isilpekoak, gako pribatua ezin dela kendu publikoarengandik, eta alderantziz, sinatzaileak modu fidagarrian babestu ditzakeela gakoak, ez dadila aldatu jatorrizko dokumentuaren edukia, eta sinatzaileak ikus dezala zer sinatuko duen.
Ikuspuntu teknikotik, 59/2003 Legearen 27. artikuluaren arabera, gailu seguru sinaduraren ziurtagiriak egiaztatu behar du aurreko ezaugarriak betetzen dituela, Europako Batzordearen 2003ko uztailaren 14ko 2003/511/EE Erabakian argitaratutako arau teknikoen arabera.
Ezagutzen al dira nabigatzailean instalatutako software-ziurtagiri batekin ordenagailuan sortutako sinadurak?
Datuak sinatzen direnean, sinatzaileak sinadura elektronikoari aplika dakizkiokeen baldintza orokor batzuk eta baldintza berezi batzuk onartzen dituela adierazten du, sinaduraren barruan politika esplizitu edo inplizitu bat zehazten duen eremu bat txertatuz.
Sinadura elektronikoaren araudiari dagokion eremua falta bada eta aplikatu beharreko araurik ez badago, orduan onar daiteke sinadura inolako arau-murrizketarik gabe sortu edo egiaztatu dela, eta, ondorioz, ez zaiola inolako lege- edo kontratu-esanahi zehatzik esleitu. Sinadura horrek ez du berariaz zehazten semantika edo esanahi zehatzik, eta, beraz, sinaduraren esanahia testuingurutik ondorioztatu beharko da (eta, bereziki, sinatutako dokumentuaren semantikatik).
Sinadura-politika baten helburua da konfiantza -en transakzio elektronikoak testuinguru jakin baterako baldintza batzuen bidez; transakzio jakin bat, lege-araubide bat edo alderdi sinatzaileak bere gain hartzen duen rol bat izan daiteke.
Adibidez, Estatuko Administrazio Orokorraren sinadura-politika (EAO) sinadura elektronikoari baliozkotzeko aplika dakizkiokeen baldintza orokorrak zehazten ditu, Estatuko Administrazio Orokorrak herritarrekin duen harreman elektronikoan eta Estatuko Administrazio Orokorreko organo eta erakundeen artean.
Herritarrek Zerbitzu Publikoetan Sarbide Elektronikoa izateari buruzko 11/2007 Legea zati batean garatzen duen 1671/2009 Errege Dekretuaren 24. artikuluaren arabera, Estatuko Administrazio Orokorraren eta haren erakunde publikoen eremuan sinadura elektronikoaren eta ziurtagirien politika ziurtagiriak eta sinadura elektronikoa erabiltzeko aplikagarriak diren jarraibide eta arau teknikoen araberakoa da, bere aplikazio-eremuan.
Sinadura-politikak eginkizun garrantzitsua du, testuinguru jakin batzuetan (kontratuzkoa, juridikoa, legezkoa...) sinatze-prozesuan parte hartzen duten eragile guztien arauak eta betebeharrak definitzen baititu.
Elkarreragingarritasunaren Eskema Nazionala arautzen duen 4/2010 Errege Dekretuak ezartzen du Estatuko Administrazio Orokorraren sinadura elektronikoaren eta ziurtagirien politika elkarreragingarritasun-esparru orokorra izango dela sinadura elektronikoak autentifikatzeko eta elkarri aitortzeko, bere jarduera-eremuaren barruan. Era berean, ezartzen du politika hori beste administrazio publiko batzuek erabili ahal izango dutela erreferentzia gisa, haien eskumen-esparruetan aintzatetsi beharreko ziurtagiri eta sinaduren politikak definitzeko.
Urtarrilaren 8ko 3/2010 Errege Dekretuak, Administrazio Elektronikoaren esparruan Segurtasun Eskema Nazionala arautzen duenak, honako printzipio eta baldintza hauek ezartzen ditu: segurtasun-politika informazioaren babesa.
Bada, dekretuak, 33. artikuluan, sinadura elektronikoak sortzeko, baliozkotzeko eta kontserbatzeko prozesuak, sinadura elektronikoko sistemei, ziurtagiriei, denbora zigilatzeko zerbitzuei eta sinaduren beste euskarri-elementu batzuei eska dakizkiekeen ezaugarriak eta eskakizunak zehazteko funtzio guztia ere Sinadura Politikaren esku uzten du.
Bestalde, EHren II. eranskineko 5.7.4 puntuan oso espezifikoa da babestu beharreko informazio-mailaren arabera aplikatu behar diren sinadura-motei buruz.
Indarrean dagoen legerian aurreikusitako sinadura elektronikoko edozein bide erabil daiteke.
Sinadura elektronikoan erabilitako baliabideak tratatutako informazioaren kalifikazioaren araberakoak izango dira. Nolanahi ere:
Zentro Kriptologiko Nazionalak egiaztatutako algoritmoak erabiliko dira.
Honako hau bermatuko da: egiaztatzea eta baliozkotzea sinadura elektronikoa, haren euskarri den administrazio-jarduerak eskatzen duen denboran; hala ere, epe hori luzatu ahal izango da, sinadura elektronikoaren eta aplikatu beharreko ziurtagirien politikak ezartzen duenaren arabera. Horretarako:
Sinadura elektronikoari buruz erdi-mailan eskatzen diren segurtasun-neurriak aplikatuko dira, honako hauez gain:
Zentro Kriptologiko Nazionalaren CCN-STIC-807 arauak 5.7 puntuan ezartzen du zein mekanismo eta algoritmo erabil daitezkeen sinatzeko, informazio-mailaren arabera.