Feeds:
Entradas
Comentarios

Posts Tagged ‘Identificación empleado público’

La interoperabilidad de los sistemas de firma electrónica utilizados y reconocidos por las distintas AAPP con las que se relacionan los ciudadanos, es una piedra angular de la Administración Electrónica. Esta importancia queda resaltada dentro de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007) incluyéndola como uno de los principios a los que ha de ajustarse el uso de las tecnologías de la información dentro de las AAPP

Artículo 4. Principios generales

La utilización de las tecnologías de la información tendrá las limitaciones establecidas por la Constitución y el resto del ordenamiento jurídico, respetando el pleno ejercicio por los ciudadanos de los derechos que tienen reconocidos, y ajustándose a los siguientes principios:


e) Principio de cooperación en la utilización de medios electrónicos por las Administraciones Públicas al objeto de garantizar tanto la interoperabilidad de los sistemas y soluciones adoptados por cada una de ellas como, en su caso, la prestación conjunta de servicios a los ciudadanos. En particular, se garantizará el reconocimiento mutuo de los documentos electrónicos y de los medios de identificación y autenticación que se ajusten a lo dispuesto en la presente Ley.

La necesidad de esta interoperabilidad se deriva de la potestad de autoorganización de las AAPP. Esta potestad, llevada al campo de la identidad electrónica, implica la definición autónoma por cada Administración de las credenciales digitales usadas por los empleados públicos que tiene adscritos y los sistemas de la información en que se apoyan los servicios públicos que prestan, así como de las que reconocen como medio de identificación de los ciudadanos en las relaciones por medios electrónicos. Dado el entorno de competencias fragmentadas, dónde Administraciones de ámbito supranacional, estatal, regional y local han de colaborar en la prestación de servicios electrónicos, la interoperabilidad se convierte en una obligación.

Haciendo referencia a los distintos medios de identificación manejados por la LAECSP, la interoperabilidad de los sistemas de firma electrónica ha de centrarse fundamentalmente en tres campos:

  1. Reconocimiento de un conjunto común de credenciales digitales que pueden utilizar los ciudadanos
  2. Certificados electrónicos de empleados públicos con un mínimo de información común
  3. Sellos electrónicos para la actuación automatizada de cada Administración que puedan ser verificados por las restantes y permitan el intercambio de documentos administrativos en formato electrónico

El primero de los campos de interoperabilidad de la identidad digital, está garantizado por la Ley de Firma Electrónica (LFE, Ley 59/2003) en el ámbito nacional, regional y local y por la Directiva 1999/93/CE en el ámbito supranacional. Si bien el estándar X509v3 da flexibilidad en cuanto los campos de los certificados digitales y el orden de los mismos, el marco legal referido establece cuál ha de ser la información mínima a contener y los requisitos legales que los prestadores, si bien bajo régimen de libre establecimiento, han de cumplir.

En el caso de los certificados electrónicos de los empleados públicos, hemos de acudir a la LAECSP para encontrar el conjunto mínimo de atributos de los mismos

Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.

1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.

2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.

3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.

Deja por tanto un amplio margen de autonomía para que cada Administración ejerza su potestad de autoorganización, por lo que parece conveniente que acuerden entre ellas un perfil común. Dicho perfil común es, en principio, el recogido en el «Esquema de Identificación y Firma Electrónica de las AAPP», si bien a día de hoy aún no es marco legal oficial. El carácter básico de la LAECSP no impediría sin embargo que, manteniendo la existencia de la información recogida en el Artículo 19.2, cada AAPP tuviera su propio perfil de certificados. Dicha situación no sería tampoco mayor problema, tan sólo sería necesario tratar cada uno de ellos como el de los certificados emitidos por los restantes Prestadores de Servicios de Certificación en las Plataformas de Validación existentes en cada Administración  (@firma en el caso de la AGE). El caso del uso de los certificados del DNIe como herramienta de firma electrónica por los empleados públicos, merece, sin embargo, capítulo aparte y no profundizaremos en el, ya que claramente no cumple lo indicado en el artículo 19.2 y tiene otras implicaciones de carácter organizativo.

La interoperabilidad de los sellos electrónicos, por último, no presentan mayor complejidad más allá del nivel organizativo de la interoperabilidad, ya que han de establecerse los mecanismos de comunicación adecuados entre las Administraciones para comunicarse los sellos que cada una usa. Una vez resuelto el primer nivel de interoperabilidad, el nivel semántico quedaría resuelto con el «Esquema de Identificación y Firma electrónica» que define los perfiles de los mismos y el nivel técnico es resuelto por @firma o una plataforma similar.

Read Full Post »

La Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007) regula en su artículo 19 establece el siguiente marco general para las firma electrónica del personal al servicio de las AAPP

Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.

1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.

2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.

3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.

Es un marco genérico, que implica la necesidad de realizar un desarrollo reglamentario. Un primer borrador del mismo figura en los trabajos que se han divulgado del «Esquema de identificación y firma electrónica de las AAPP» en en Centro de Transferencia de Tecnologías. Sea este el marco que finalmente se defina o no, refleja la complejidad del mismo, que queda patente en un peculiar ciclo de vida de los certificados digitales y los actores que intervienen en el mismo. De una primera lectura de este borrador pueden quedar aspectos no lo suficientemente claros, que es de esperar queden diseñados totalmente en su versión final. A continuación reflejo mi interpretación del mismo.

Al igual que para el resto de los sistemas de identificación electrónica para las AAPP definidos en la LAECSP, se definen dos tipos diferenciados de certificados digitales de empleado público para uso en firma electrónica. De un lado, aquellos que requieren un nivel de aseguramiento alto y ha de protegerse su material criptográfico en un dispositivo seguro de creación de firma (DSCF). De otro, los que requieren un nivel de aseguramiento medio y pueden estar basados en medios software. Las firmas electrónicas generadas con los primeros, de acuerdo a lo definido en la Ley de Firma Electrónica (LFE, Ley 59/2003), tendrían características de firma electrónica reconocida, equivalente a firma manuscrita. Las generadas con los segundos, sólo tendrían características de firma electrónica avanzada.  Es de sospechar que por la cabeza de quien diseñó esta dualidad de certificados pasará el uso de los basados en DSCF por aquellos con consideración de directivos, mientras los basados en software estarían destinados al resto de empleados públicos. No obstante, es fácil prever una convergencia hacia el uso sólo de firma electrónica basada en DSCF, ligando dicho dispositivo a las omnipresentes tarjetas de fichaje.

El «Esquema de identificación y firma electrónica de las AAPP» establece para ambos tipos de certificados un ciclo de vida que gira entorno a tres actores. De un lado la Autoridad de Certificación que emite los certificados, y de otro el suscriptor de certificado u organismo al que están adscritos empleados públicos y el responsable de certificado o empleado público que hace uso del mismo. Es decir, desdobla el titular del certificado en dos actores distintos, dando al primero la propiedad del mismo y al otro su uso. Ello queda reflejado en el hecho que tan sólo el suscriptor puede revocar un certificado de empleado público, y que aunque la solicitud puede partir tanto de suscriptor como del responsable, el responsable está obligado a recibirlo si el suscriptor se lo ha solicitado. Con este marco normativo, la firma electrónica pasa a ser una herramienta de trabajo de obligada aceptación, eliminado las ambiguedades existentes previas a la existencia de la LAECSP.

La relación existente entre los tres actores del ciclo de vida de los certificados digitales de los empleados públicos, hace pensar en una implementación de la generación del material criptográfico realizada integramente por la Autoridad de Certificación, en que el suscriptor realizará una petición masiva de los certificados para los empleados públicos del organismo que representa. En caso de certificados digitales basados en DSCF, una vez estos estuvieran disponibles se harían llegar a cada uno de los empleados públicos. En el caso de certificados basados en software, habría que idear un mecanismo seguro de hacer entrega del fichero PKCS12 al responsable del mismo.

Otro aspecto que llevará a una generación del material criptográfico por parte de la Autoridad de Certificación es la imposición que se hace a éste de conservar las claves privadas durante 15 años dentro del borrador del «Esquema de Identificación y Firma Electrónica». Esta conservación resulta más sencilla de implementar si la generación de claves se realiza en la Autoridad de Certificación que si la realiza suscriptor o responsable para luego hacérselas llegar de modo seguro. El almacenamiento de claves por el periodo indicado permitirá disponer de servicios de key scrow, si bien no existe previsión de cómo será regulado el procedimiento de recuperación de claves.

En resumen, es un ciclo de vida que tiene como principales peculiaridades que el empleado público juega un papel secundario en el mismo y que, a diferencia de servicios para ciudadanos existentes como el proporcionado por la FNMT, se hace la generación de claves  en la Autoridad de Certificación.

Read Full Post »