Sede y sello

sello realUltimamente me llegan bastantes preguntas sobre el certificado de sede y el de sello. Parece que la LAECSP y el RD  no clarifican suficientemente su utilidad.

Tengo que decir sinceramente que, aunque el concepto de sede me parece útil, algunas de  las características de la sede descritas en el RD 1671/2009  las encuentro contraproducentes. Al margen de esto comentaré la utilidad de cada uno de los certificados.

El certificado de SEDE.

La Ley dice que las sedes electrónicas, cuando sea necesario, dispondrán de sistemas que permitan el establecimiento de comunicaciones seguras.  Además las sedes electrónicas utilizarán, para identificarse y la comunicación segura , sistemas de firma basados en certificados de dispositivo seguro o medio equivalente.

Se deduce que el certificado de SEDE pretende únicamente la identificación de establecimiento de una conexión del tipo SSL entre el cliente y el servidor web (puede haber otras conexiones seguras).

El certificado de SEDE no se usa para firmar en ningún caso.  

La comunicación segura no es obligatoria.

El certificado se instala en el servidor y autentica al servidor. SSL establece una canal seguro entre el cliente web y el servidor y no todos son ventajas: El SSL disminuye el rendimiento de la aplicación y hay que tenerlo encuenta cuando en eldiseño y la programación.  

Por otro lado, la autenticación sólo es del servidor  y, en general, podría ser sólo en la página de inicio de sesión. No es necesario solicitar la identificación del cliente que además también penaliza al rendimiento. 

La identificación de la sede puede ser útil para casos de hosting pero problemático para el cloud computing, sobre todo la bligatoriedad a tener el dominio .gob.es.

El ciudadano debe poder verificar el certificado de SEDE. Para ello los organismos tienen que publicar en su sede un sistema de verificación. Pueden utilizar  VALIDE.

El certificado de SELLO.

Para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada se puede utilizar el sello electrónico. El certificado de sello permite la firma de documentos, pero no se ha creado para establecer la comunicación segura.

Por tanto un organismo deberá disponer, por ejemplo en un registro electrónico, de un certificado de sede y otro de sello. El segundo deberá contener el dato del organismo responsable de la aplicación. 

El uso del sello y los supuestos en los que se usa debe determinarlo cada Departamento que además debe facilitar los medios para facilitar la comprobación de su sello.

¿Qué supuestos? Un caso es la firma de los “acuses de recibo” o “acreditaciones”. Si se firman podrá hacerse con el certificado de sello. Otros casos son las compulsas, los intercambios de datos entre administraciones, las copias electrónicas,  las autorizaciones electrónicas, etc.

En cuanto a la comprobación hay dos posibilidades o bien el organismo pone a disposición la parte pública del certificado o el ciudadano dispone de un medio para comprobar la firma del documento que se le entrega.

Por ultimo voy a hacer una lista de reflexiones:

  •  A qué se refiere la Ley cuando habla de es un certificado de dispositivo seguro para identificar al sede? Es de imaginar que se refiere a un CDS (certificado de dispositivo servidor seguro) y no a un dispositivo seguro de creación de firma.
  • El certificado de sello hay que publicarlo mediante resolución de la Subsecretaría del Ministerio o titular del organismo público competente. No he encontrado ninguna publicada.
  • Es, para el ciudadnao, el nombre de sede más fácil de entender y encontrar que el de oficina virtual ?
  • Las características de la sede resultarán un corsé en el futuro para la evolución. 
Anuncios


Categorías:Administración Electrónica, identificación electrónica

Etiquetas:, , , ,

5 respuestas

  1. Buenas,

    ¿Podría precisar el concepto de certificado de dispositivo servidor seguro? Entiendo que se trata de un servidor web en el que se halla instalado un certificado seguro por medio del que poder autenticar la sede electrónica e incluso establecer un túnel SSL, al estilo de los bancos por ejemplo.

    Aunque la comunicación no es obligatorio sea segura es muy recomendable se implemente el túnel SSL, pues es de aplicación la LOPD y ha de tomarse en cuenta que la AN ha declarado la obligación de seguridad como obligación de resultado, y no de medios. Está en juego la privacidad de los administrados.

    En relación con la publicación relativa al certificado de sedes electrónicas, al menos, ha existido una:

    Resolución de 4 de mayo de 2.005, del Departamento de Informática Tributaria, por la que se hacen públicos los números de serie y huellas digitales de los certificados de servidor de la AEAT. Sin embargo, el certificado caducó, ha sido sustituido por otro, pero no se ha emitido norma publicando el sello. Creo que es básico que lo haga toda sede electrónica, como debieran hacer los bancos, pues con fijarse en el https y ver un candado no nos basta para autenticar adecuadamente que estamos ante el servidor seguro en cuestión.

    Gracias

    Un saludo

Trackbacks

  1. links for 2010-09-28 « Blog del Curso de Innovación en Aproema
  2. links for 2010-09-28 « Siguiendo asuntos de innovación
  3. links for 2010-09-28 « Siguiendo asuntos de oGov
  4. Los certificados de la Ley 11/2007 « Sociedad Conectada. Voz y Voto.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: