A lexislación básica sobre firma electrónica recóllese na Lei 59/2003, do 19 de decembro, de Firma Electrónica.
Art. 3.1) A firma electrónica é o conxunto de datos en forma electrónica, consignados xunto a outros ou asociados con eles, que poden ser utilizados como medio de identificación do asinante.
Ademais, a Lei distingue entre dous tipos de firma, a ‘firma electrónica avanzada’ e a ‘firma electrónica recoñecida’:
Art. 3.2) A firma electrónica avanzada é a firma electrónica que permite identificar ao asinante e detectar calquera cambio ulterior dos datos asinados, que está vinculada ao asinante de maneira única e aos datos a que se refire e que foi creada por medios que o asinante pode manter baixo o seu exclusivo control.
(Art. 3.3) Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
Segundo a lei, a firma electrónica recoñecida é a única que pode ser considerada equivalente á firma manuscrita:
(Art. 3.4) A firma electrónica recoñecida terá, respecto dos datos consignados en forma electrónica, o mesmo valor que a firma manuscrita en relación cos consignados en papel.
Pero como conseguimos, na práctica, que unha firma electrónica sexa recoñecida e por tanto, equivalente á firma manuscrita?
Unha firma electrónica recoñecida debe cumprir as seguintes propiedades ou requisitos:
Os 4 primeiros puntos son posibles grazas ao uso das claves criptográficas contidas no certificado e á existencia dunha estrutura de Autoridades de Certificación que ofrecen confianza na entrega dos certificados. Pero segundo a Lei 59/2003, eses 4 puntos só nos/nos ofrecen unha firma avanzada.
Para que a firma electrónica sexa equivalente á manuscrita, é dicir, que unha Firma electrónica sexa recoñecida, debe ademais:
O certificado debe ser recoñecido polo Ministerio de Industria e Comercio como habilitado para crear firmas recoñecidas e debe estar listaxe na súa páxina web como tal.
Pódense ver todos os certificados recoñecidos polo MITyC na lista de provedores de servizos electrónicos de confianza
Son certificados recoñecidos porque tanto o fornecedor que os emite como o contido mesmo do certificado, cumpren cos requisitos declarados no Capítulo II da Lei 59/2003 de firma electrónica sobre Certificados recoñecidos.
As características dun dispositivo seguro de creación de firma están recollidas no artigo 24 da Lei 59/2003 de Firma Electrónica.
Principalmente, o dispositivo seguro debe garantir que as claves sexan únicas e secretas, que a clave privada non se pode deducir da pública e viceversa, que o asinante poida protexer de forma fiable as claves, que non se altere o contido do documento orixinal e que o asinante poida ver que é o que vai asinar.
Desde un punto de vista técnico, segundo o artigo 27 da Lei 59/2003, un dispositivo seguro de sinatura debe ser certificado como que cumpre as características anteriores segundo as normas técnicas publicadas na Decisión 2003/511/CE, do 14 de xullo de 2003 da Comisión Europea.
Son recoñecidas as firmas xeradas no computador cun certificado software instalado no navegador?
Cando se asinan datos, o asinante indica a aceptación dunhas condicións xerais e unhas condicións particulares aplicables a aquela firma electrónica mediante a inclusión dun campo asinado, dentro da firma, que específica unha política explícita ou implícita.
Se o campo correspondente á normativa de firma electrónica está ausente e non se identifica ningunha normativa como aplicable, entón pódese asumir que a firma foi xerada ou verificada sen ningunha restrición normativa, e en consecuencia, que non se lle asignou ningún significado concreto legal ou contractual. Trataríase dunha firma que non especifica de forma expresa ningunha semántica ou significación concreta e, por tanto, fará falta derivar o significado da firma a partir do contexto (e especialmente, da semántica do documento asinado).
A finalidade dunha política de firma é reforzar a confianza nas transaccións electrónicas a través dunha serie de condicións para un contexto dado, o cal pode ser unha transacción determinada, un réxime legal ou un rol que asuma a parte asinante.
Por exemplo, a Política de Sinatura da Administración Xeral do Estado (AGE) especifica as condicións xerais aplicables á firma electrónica para a súa validación, na relación electrónica da Administración Xeral do Estado cos cidadáns e entre os órganos e entidades da AGE.
Segundo o artigo 24 do Real Decreto 1671/2009 polo que se desenvolve parcialmente a Lei 11/2007 de Acceso Electrónico dos Cidadáns aos Servizos Públicos, a política de firma electrónica e certificados no ámbito da Administración Xeral do Estado e dos seus organismos públicos, está constitu&icaute;dá polas directrices e normas técnicas aplicables á utilización de certificados e firma electrónica dentro do seu ámbito de aplicación.
A política de firma ten unha misión importante xa que define as regras e obrigas de todos os actores involucrados no proceso de firma en determinados contextos (contractual, xurídico, legal,…).
O Real Decreto 4/2010 polo que se regula o Esquema Nacional de Interoperabilidade establece que a política de firma electrónica e de certificados da Administración Xeral do Estado, servirá de marco xeral de interoperabilidade para a autenticación e o recoñecemento mutuo de firmas electrónicas dentro do seu ámbito de actuación. Tamén establece que esta política poderá ser utilizada como referencia por outras Administracións Públicas para definir as políticas de certificados e firmas a recoñecer dentro dos seus ámbitos competenciais..
O Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica, ten por obxecto o establecemento dos principios e requisitos dunha política de seguridade protección da información.
Pois ben, o decreto, no seu artigo 33 tamén relega á Política de Firma toda a función de concretar os procesos de xeración, validación e conservación de firmas electrónicas, así como as características e requisitos esixibles aos sistemas de firma electrónica, os certificados, os servizos de selaxe de tempo, e outros elementos de soporte das firmas.
Por outra banda, o RD no seu anexo II punto 5.7.4 é moi específico sobre os tipos de firma que deben aplicarse en función do nivel da información que debe protexerse.
Pódese empregar calquera medio de firma electrónica dos previstos na lexislación vixente.
Os medios utilizados na firma electrónica serán proporcionados á cualificación da información tratada. En todo caso:
Empregaranse algoritmos acreditados polo Centro Criptolóxico Nacional.
Garantirase a verificación e validación da firma electrónica durante o tempo requirido pola actividade administrativa que aquela soporte, sen prexuízo de que se poida ampliar este período de acordo con o que estableza a política de firma electrónica e de certificados que sexa de aplicación. Para tal fin:
Aplicaranse as medidas de seguridade referentes a firma electrónica esixibles no nivel Medio, ademais das seguintes:
A norma CCN-STIC-807 do Centro Criptolóxico Nacional establece no punto 5.7 cales son os mecanismos e algoritmos que se poden utilizar para asinar en función do nivel da información.