Выбор механизмов идентификации и электронной подписи

Электронная подпись и механизмы идентификации

При вводе в действие электронной процедуры неоднократно рассматривается, по какому критерию следует решать, какие механизмы идентификации и электронной подписи граждане могут использовать для обращения к государственному управлению, особенно с учетом постоянно происходящих в этой связи нормативных изменений. .

Механизмы электронной идентификации и подписи, которые, в целом, могут использоваться заинтересованными сторонами (для получения дополнительной информации см. статьи 9 и 10 Закона 39/2015 от 1 октября об общей административной процедуре государственных администраций):

Квалифицированные электронные сертификаты электронной подписи, выданные провайдерами, включенными в «Доверенный список провайдеров сертификационных услуг».
Квалифицированные электронные сертификаты электронной печати, выданные провайдерами, включенными в «Доверенный список провайдеров сертификационных услуг».
Любая другая система, которую государственные администрации считают действительной, если они имеют предыдущую регистрацию в качестве пользователя, что позволяет им гарантировать свою личность.

Механизмы на основе квалифицированных сертификатов (предыдущие точки aib)»они должны быть приняты», в соответствии с Положением №. 910/2014 Европейского парламента и Совета от 23 июля в отношении услуг электронной идентификации и доверия (ReIdAS) и самого Закона 39/2015 от 1 октября, в то время как остальные системы (раздел c) "они могут быть принятым”, всегда принимая во внимание уровень безопасности, который они предлагают.

Критерии применения

Схема национальной безопасности (Королевский указ 311/2022 от 3 мая, далее ENS) предусматривает, что механизмы идентификации и электронной подписи могут иметь три уровня безопасности вместе с критериями, которым необходимо следовать для их установления в каждом случае. Он также устанавливает критерии для определения того, какой уровень требуется для конкретной системы или действия.

Поэтому для определения уровня безопасности, требуемого системами каждого государственного управления, и, в частности, типа учетных данных, допустимых для идентификации и электронной подписи для конкретного действия, необходимо учитывать, что ENS раскрывает и находит баланс между безопасностью и удобством использования (расширено в следующем разделе).

В этом смысле услуги, предлагаемые Консорциумом AOC, позволяют гражданам идентифицировать себя и подписывать документы как с помощью квалифицированных электронных сертификатов, так и с помощью систем, основанных на отправке одноразовых паролей Cl@ve и idCAT Mòbil, с тем чтобы каждая пользовательская администрация могла решить, в каких случаях они могут быть приняты.

Например, в области Женералитата Каталонии это решение определяется Приказ ВПД/93/2022, от 28 апреля, которым утвержден Каталог систем идентификации и электронной подписи, и в частности Заказ ПР/158/2022, от 30 июня, который утверждает Руководство по использованию систем идентификации и электронной подписи в области Администрации Женералитата. Этот последний Приказ устанавливает в своем втором пункте и в целом, что все механизмы в каталоге принимаются для всех процедур и услуг. В том же руководстве устанавливается процедура исключения этого критерия и ограничения принятия любого из механизмов либо из-за наличия:

Юридический риск: применительно к конкретной процедуре оценка наличия риска, препятствующего обеспечению жизнеспособности и правовой безопасности процедуры из-за возможного мошенничества при подписании документа или выдачи себя за заинтересованных лиц, источником которого является недостаточная надежность систем идентификации или электронной подписи.
Риск кибербезопасности или защита данных: оценка необходимости более ограничительных конкретных мер, которые определяются на основе уровня риска или классификации информации, услуги или процедуры или возможной обработки персональных данных, полученных в результате процедуры или услуги, в отношении которых предполагается использовать систему идентификации или электронной подписи.

Уровни безопасности механизмов идентификации и подписи

Как уже упоминалось, ENS предусматривает три уровня безопасности (низкий, средний и высокий) и критерии, которым необходимо следовать для их установления в каждом случае, в частности, в Приложении I, пункт три.

Та же ENS в своем Приложении II определяет критерии для присвоения уровня безопасности механизму идентификации и электронной подписи.

Таким образом, пункт, относящийся к операционной структуре (пункт 4.2.5 о механизме аутентификации [управление op.acc.5]), определяет требования, которым должны соответствовать электронные механизмы идентификации которые должны будут нанимать граждан, понимаемых как внешние пользователи организации, для каждого уровня безопасности. Таким образом, для каждого уровня принимаются:

НИЗКИЙ УРОВЕНЬ: Любой механизм идентификации, принятый действующим законодательством, например, пароли, пароль пользователя плюс одноразовый пароль, квалифицированный сертификат или сертификаты физического устройства (например, карты).
СРЕДНИЙ УРОВЕНЬ: Требует использования как минимум одноразовых паролей в качестве второго фактора аутентификации.
ВЫСОКИЙ УРОВЕНЬ: Требования такие же, как и для среднего уровня.

С другой стороны, уровни, которые должны применяться в отношении механизмы электронной подписи (определено в пункте 5 Меры защиты [mp], в частности пункт 5.7.3 Электронная подпись [control mp.info.3]), которые в целом принимают:

НИЗКИЙ УРОВЕНЬ: Любой механизм электронной подписи, принятый действующим законодательством
СРЕДНИЙ УРОВЕНЬ: Если используется расширенная электронная подпись на основе электронных сертификатов, они должны быть квалифицированы. Необходимо будет использовать алгоритмы и параметры, разрешенные Национальным криптографическим центром или применимой национальной или европейской схемой.
ВЫСОКИЙ УРОВЕНЬ: Для активации вашего закрытого ключа требуется расширенная подпись на основе квалифицированных сертификатов с использованием второго фактора аутентификации.

Что предлагает Консорциум AOC?

Служба VALID Консорциума AOC позволяет государственным администрациям Каталонии принимать как idCAT Mòbil, так и Cl@ve, а также квалифицированные сертификаты в процессах электронной идентификации и предлагает обычный механизм электронной подписи, связанный с представленными учетными данными. Таким образом, администрации могут решить, принимать ли все эти механизмы или только некоторые из них, и иметь для этого различные конфигурации в соответствии с каждой конкретной потребностью.

В случае сервиса e-NOTUM, который имеет портал для электронных уведомлений граждан, тип учетных данных для принятия можно установить для каждого конкретного уведомления.

Ссылки по теме

Когда использовать систему идентификации или систему подписи? Случаи применения.

https://suport-50ombres.aoc.cat/hc/ca/articles/4417825198993-Quan-cal-utilitzar-un-sistema-d-identificaci%C3%B3-o-un-sistema-de-signatura-Casos-d-%C3%BAs-

Электронная подпись счетов-фактур

https://suport-efact.aoc.cat/hc/ca/articles/4414477358353-La-signatura-electr%C3%B2nica-de-les-factures

Выбор механизмов идентификации и электронной подписи

Связанные записи

Подпишитесь на информационный бюллетень AOC