Grupo de apoyo a la preparación de la XXII convocatoria de oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado
AUTENTICACIÓN Y AUTORIZACIÓN
CONCEPTOS. El concepto de Autenticación se refiere a identificar de forma segura que quién entra en el sistema es quien dice ser. La Autorización consiste en dotar de permisos variables a un usuario en función de la autenticación realizada. En función del nivel de seguridad requerido existen tres tipos de métodos de autenticación, de menor a mayor nivel de seguridad (si bien no son exclusivos, se pueden combinar): • Algo que sabes: PIN, contraseña...etc. • Algo que tienes: token, tarjeta física...etc. • Algo que eres: biometría. Siempre hay que valorar el nivel de seguridad de los datos que estamos manejando para decidir el mejor método de autenticación, pero lo más habitual será utilizar o bien sistemas basados en usuario y contraseña, o bien sistemas de autenticación con certificado electrónico.
ASPECTOS NORMATIVOS. ¿Cómo se pueden autenticar los ciudadanos? Tal y como recoge el artículo 13.2 de la Ley 11/2007. a) En todo caso, para personas físicas, el eDNI. b) Sistemas de firma electrónica avanzada basados en certificado electrónico reconocido. Las Administraciones Públicas deberán admitir todos los certificados reconocidos incluidos en la "Lista de confianza de prestadores de servicios de certificación" (TSL) establecidos en España, publicada en la sede electrónica del Ministerio de Industria, Energía y Turismo. c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no
1
Grupo de apoyo a la preparación de la XXII convocatoria de oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado
criptográficos, en los términos y condiciones que en cada caso se determinen. En el caso particular de las empresas, a pesar de que la legislación recoge el uso de los certificado de persona jurídica en las relaciones con las administraciones, este tipo de certificados se usan principalmente para la generación de facturas electrónicas y en el ámbito tributario. Para otro tipo de relaciones, las empresas suelen actuar por medio de un representante que empleará un certificado de persona física. Si la aplicación objeto del examen pudiera ser utilizada por ciudadanos extranjeros, se plantean las siguientes opciones: a) Dado que Cl@ve se integra con STORK, la integración con Cl@ve permitirá que los ciudadanos comunitarios de los Estados Miembros integrados en STORK en la actualidad puedan hacer uso de los identificadores electrónicos de sus Estados Miembro de origen. b) Por otra parte, los ciudadanos extranjeros también podrán obtener un certificado de persona física. Para eso, se requiere presentar una tarjeta de residencia (NIE) si el ciudadano es extracomunitario o, el "Certificado de Registro de Ciudadanos de la Unión y su Pasaporte" en caso que sean ciudadanos comunitarios sin tarjeta de residencia. Además de los casos anteriores, el ciudadano puede ser identificado y autenticado por un funcionario público conforme a lo dispuesto en el artículo 22 de la Ley 11/2007.
¿Y cómo se puede identificar electrónicamente Administración y autenticar sus documentos electrónicos?
la
Tal y como recoge el artículo 13.3 de la Ley 11/2007. a) Para identificar la sede electrónica y establecer con ella comunicaciones seguras: sistemas de firma electrónica basados en la utilización de certificados de dispositivo seguro o medio equivalente. b) Sistemas de firma electrónica para la actuación administrativa automatizada: a. Sello electrónico. b. Código Seguro de Verificación.
2
Grupo de apoyo a la preparación de la XXII convocatoria de oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado
Para verificar la autenticidad sin necesidad de acceder a la sede para cotejar el CSV se podrá superponer a éste la firma mediante sello electrónico. c) Firma electrónica del personal al servicio de las AAPP. En el ámbito de la AGE, el Real Decreto 1671/2009 detalla en su artículo 21: a. Firma basada en el DNIe. b. Firma basada en certificado de empleado público al servicio de la Administración General del Estado expresamente admitidos con esta finalidad. c. Sistemas de código seguro de verificación. d) Intercambio electrónico de datos en entornos cerrados de comunicación, conforme a lo específicamente acordado entre las partes.
TIPOS DE CERTIFICADOS ELECTRÓNICOS. Los tipos de certificados expedidos por CERES, de la FNMT: •
CERTIFICADOS DE COMPONENTE.
o De Servicios Web: aseguran la autenticidad del servicio. o De Servidor: se alojan en un servidor y serían de este tipo los de sello electrónico o los de sede electrónica. •
CERTIFICADOS DE PERSONA: sirven para identificarse y firmar, no para
cifrar. Pueden ser: De persona física (clase 2CA). o De persona jurídica. o De entidad sin personalidad jurídica. o De funcionario (clase AP).
o
CL@VE. Cl@ve es la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica. El Sector Público Administrativo Estatal deberá habilitar el sistema en todos los servicios y trámites electrónicos dirigidos a los ciudadanos antes del 31 de diciembre de 2015, por lo que se recomienda que la solución propuesta en el examen se integre con Cl@ve de cara a cumplir esta directriz.
3
Grupo de apoyo a la preparación de la XXII convocatoria de oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado
Aunque nace dentro del ámbito estatal, la Orden PRE/1838/2014, que la regula, indica que se permitirá la integración del resto de Administraciones Públicas mediante convenio. Esta plataforma pretende evitar a las Administraciones Públicas tener que implementar y gestionar sus propios sistemas de identificación y firma, y a los ciudadanos tener que utilizar métodos de identificación diferentes para relacionarse electrónicamente con la Administración. El diseño de Cl@ve está basado en un sistema de federación de identidades electrónicas SAML 2.0 que integra los siguientes elementos: a) Proveedores de servicios de administración electrónica a los ciudadanos (SPs), que se integran con el Gestor de Identificación para la identificación y autenticación de los mismos. b) Proveedores de servicios de identificación y autenticación (IdPs), que proporcionan mecanismos de identificación y autenticación de los ciudadanos para ser utilizados como medios comunes por otras entidades. Inicialmente serán la Agencia Estatal de Administración Tributaria (AEAT) para la Cl@ve ocasional y la Gerencia de Informática de la Seguridad Social (GISS) para la Cl@ve permanente, pero el diseño de la solución contempla la extensión a otros potenciales proveedores de identidades. c) Pasarela / Gestor de Identificación que posibilita el acceso de los proveedores de servicios a los distintos mecanismos de identificación y la selección de éstos por parte del usuario. Por otra parte, Cl@ve se integra con: d) @firma: para la identificación y firma mediante certificados electrónicos. e) STORK: para el reconocimiento transfronterizo de identidades electrónicas. (En la actualidad no todos los Estados Miembros de la Unión Europea se encuentran integrados en STORK).
4
Grupo de apoyo a la preparación de la XXII convocatoria de oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado
Cl@ve permite que las aplicaciones de administración electrónica puedan definir el nivel de seguridad de la identificación y autenticación en línea con el Reglamento 910/2014 del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y siguiendo las recomendaciones del ENS. Una vez definido el nivel de seguridad por el responsable del servicio de administración electrónica, el ciudadano podrá escoger el modo de identificación que desea usar entre los disponibles para el nivel de seguridad requerido por la aplicación.
Sistemas de identificación admitidos f) Sistemas de identificación basados en claves concertadas. a. Cl@ve ocasional (Cl@ve PIN) (PIN24H de la AEAT): sistema de contraseña de validez muy limitada en el tiempo, para usuarios que acceden esporádicamente a los servicios. b. Cl@ve permanente (usuario y contraseña y en ocasiones además clave de un solo uso por SMS de Tu Seguridad Social): sistema de contraseña de validez duradera en el tiempo, pero no ilimitada, orientado a usuarios habituales. Este sistema, en su modo reforzado con clave de un solo uso recibida por SMS, permitirá el acceso al ciudadano a la firma en la nube g) Certificados electrónicos. Estos sistemas se encuentran en producción en la actualidad.
5
Grupo de apoyo a la preparación de la XXII convocatoria de oposiciones al Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado
DNI en la nube Los certificados de los ciudadanos están en un servidor centralizado (Hardware Security Module HSM) y para acceder a ellos el titular debe autenticarse con usuario y contraseña e introducir un código de un solo uso enviado por teléfono(autenticación de doble factor mediante la cl@ve permanente). La firma se realiza en el servidor y no en el equipo del usuario, de modo que el ciudadano no tiene que preocuparse de la gestión de los certificadosy puede firmar desde cualquier dispositivo. Los certificados para la firma, asociados al DNI en la nube, serán emitidos y custodiados en un HSM por la Dirección General de la Policía. El proceso de firma centralizada se llevará a cabo en otro HSM de la Gerencia de Informática de la Seguridad Social (GISS), en el que se replicará la información de la dirección General de la Policiía que sea necesaria para realizar la firma. Se espera que esta funcionalidad esté disponible a lo largo de 2015.
Registro El uso de claves concertadas y de los servicios de firma en la nube requieren el registro previo de los ciudadanos, a través de internet o en una Oficina de Registro. Inicialmente funcionarán como Oficinas de Registro de datos la red de oficinas de la AEAT y de las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
6