24
agosto
2016

¿Qué es una auditoría eIDAS?

Corantin Giorgetti
0 commentaires
Opinión de los expertos

El Reglamento eIDAS entró en vigor el 1 de julio de 2016 e incluye una serie de enmiendas para los prestadores de servicios de confianza, incluida la obligación de realizar un nuevo informe de cumplimiento.
Por lo tanto, cada prestador de servicios de confianza (PSCo) debe, a partir del 1 de julio de 2016, realizar lo que se denomina una «auditoría de cumplimiento del eIDAS», realizada por los organismos acreditados de evaluación de conformidad con el Reglamento n. º 765/2008, de 9 de julio de 2008.

Lo anterior es necesario para obtener el «Santo Grial»: la certificación de sus servicios. Esta certificación indica el cumplimiento de las diversas normas relacionadas con los servicios de confianza (certificados, sellos de tiempo) de acuerdo con el Reglamento eIDAS.
Con el Reglamento eIDAS, se controla a priori, es decir, cada prestador de servicios de confianza debe obtener primero la cualificación de sus servicios a través de una auditoría antes de poder presentarlos como tales.
Gracias a esta cualificación previa, la prueba de asunción de responsabilidad puede transferirse al PSCo en caso de litigio.

En la práctica, ¿en qué consiste una auditoría de cumplimiento del eIDAS?

Los auditores del organismo oficial (LSTI) verifican que las políticas de certificación cumplan con las normas definidas en los estándares:

universign-conformité-eidas

Se aseguran de verificar la correspondencia entre:

  • los requisitos de las normas europeas y nacionales y nuestras políticas de certificación y sellado de tiempo.
  • lo escrito en las políticas y las medidas efectivas.

Esto implica, entre otras cosas, los siguientes controles:

  • control procesal de los expedientes de registro
  • gestión de las autorizaciones (quién hace qué, cómo se gestionan las salidas…) y el seguimiento de los secretos (es decir, las tarjetas)
  • arquitectura de la plataforma (visita a centros de datos, control de medidas de seguridad, de red…)
  • seguridad física (de la sede y de los centros de datos)
  • gestión operativa de la plataforma (seguimiento de los desarrollos, control, gestión de crisis, PCA, backups…)

Después de esta auditoría, se prepara un informe y se presenta al Psco; en base a este informe, el órgano de control decide si concede o no la certificación.

Un nuevo marco jurídico desde julio de 2016

Para promover la adopción de la firma electrónica y acelerar la digitalización de los procesos, la Comisión Europea ha implementado el Reglamento eIDAS, en vigor desde el 1 de julio de 2016.
Este nuevo reglamento transnacional sienta las bases de un mercado único para la confianza digital, promoviendo la armonización de la firma electrónica, la interoperabilidad entre países y partes interesadas, y homogeneizando el proceso de creación de la firma electrónica.

¿Cada cuánto tiempo?

Cada 2 años a partir de julio de 2016. La entrada en vigor del Reglamento eIDAS cambió la frecuencia de las auditorías de cumplimiento que eran previamente anuales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Prueba Universign