A | Patrones de error

¿Qué significa el mensaje de error “No coincide el número de serie. Recomendamos encarecidamente pasar por el proceso de firma previa para recuperar el número de serie StepUp real ” . Este mensaje de error indica que en un proceso de PWD / OTP, la contraseña se restableció y se volvió a seleccionar sin realizar una nueva identificación con el proceso de aumento correspondiente de acuerdo con la Guía de referencia.

Me autentiqué correctamente con la aplicación PWD / OTP, Mobile ID o Mobile ID, pero la firma no funcionó … ¿cuál podría ser la razón?

Las causas son:

  • Ha establecido una nueva contraseña para el procedimiento PWD / OTP. Esto solo puede llevarse a cabo en situaciones excepcionales en una autoridad de registro interno y, de lo contrario, siempre debe tener lugar como parte de una nueva identificación.
  • Anteriormente se había autenticado con PWD / OTP y ahora ha activado su MobileID con un número de teléfono móvil suizo o internacionalmente mediante el uso de una aplicación Mobile ID. En este caso, también debe producirse una nueva identificación porque ha cambiado el medio de autenticación de la identidad.
  • Ha cambiado la SIM o el proveedor de telefonía móvil. Como resultado, la autenticación de MobileID ha cambiado cuando se usa un MobileID. También es necesaria una nueva identificación para esto.
  • Si ninguna de estas causas está presente, debe abrir un ticket.

A menudo, los mensajes se refieren a la falta de integridad, es decir, el documento muestra cambios después de firmar el documento. Por ejemplo, los elementos de la red se descargaron e insertaron posteriormente. Esto se puede evitar si se utiliza constantemente la última versión de PADES estándar PDF / A para la firma. Para crear documentos PADES correctos, siga este enlace aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Cabe señalar que los validadores de la UE están lejos de estar armonizados. Esto significa que los portales de prueba pueden presentar una firma electrónica calificada como "inválida", aunque cumpla con los requisitos para la datación eIDAS. La UE está trabajando en la armonización.

“La firma es válida pero no se pudo verificar la validez de la identidad del firmante” es la declaración de Adobe si no se utilizó el formato LTV. El trasfondo es que Adobe luego intenta verificar la validez de un certificado de 10 minutos. Si no se utilizó un formato de validación a largo plazo, que almacena la información de validez en el momento de la firma, ya no se podrá acceder a estos después de un tiempo. Por lo tanto, las firmas con certificados a corto plazo (pero también las firmas con prueba a largo plazo) deben guardarse siempre en formato LTV. Puede encontrar más sugerencias aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Este mensaje se activa en dos casos:

a) En caso de que acabe de ser identificado con la aplicación Swisscom RA y se haya realizado un cambio antes con su método de autenticación (cambio de tarjeta / contrato SIM, restablecimiento de Mobile ID, cambio de contraseña para la firma, cambio de PWD / OTP a Mobile ID )

En este caso, todo está bien y puede continuar inscribiéndose como de costumbre hasta el nivel calificado.

b) En caso de que haya nuevos Términos y condiciones disponibles que deban aceptarse y se haya realizado un cambio con su método de autenticación desde la última firma exitosa (cambio de tarjeta / contrato SIM, restablecimiento de Mobile ID, se cambió la contraseña para la firma, cambio de PWD / OTP a Mobile ID)

En este caso, debe volver a identificarse para poder realizar firmas calificadas.

La llamada de verificación que comprueba si una persona es conocida por el Servicio RA devuelve el siguiente código de error:

{

"StatusCode": 404,

"Mensaje": "No se puede verificar la jurisdicción de un usuario desconocido con msisdn XXXXXXXXX",

"ExceptionClass": "EvidenceVerificationException"

}

Esto significa que la persona es desconocida para RA-Service. Es posible que esta persona probablemente esté identificada pero no aceptó el SMS con los Términos de uso. Después de un tiempo (aproximadamente 2 semanas), se eliminarán los datos de la persona.

B | Identificación en general

En Suiza, Swisscom amplía continuamente las posibilidades para permitir la identificación en las tiendas de Swisscom. Informaremos sobre esto en esta página web principal. En el extranjero, la identificación solo será posible a través de socios que lo ofrezcan. A medio plazo, Swisscom está buscando una conexión con las identidades existentes (por ejemplo, verificación de identidad en línea por parte de un banco o un eID estatal, como el alemán Personalausweis o SwissID).

Durante la identificación, se consulta el medio de autenticación (por ejemplo, específicamente el número de teléfono móvil). Con esto, ya se ejecuta una primera firma (autenticación step-up), típicamente la firma de los términos de uso que se han aceptado. Esta firma se transfiere al All-in Signing Service. Esto significa que All-in Signing System conoce exactamente los medios de autenticación.

Una agencia de RA está asociada a un área de almacenamiento (lo que se denomina “inquilino”) en la que solo se gestionan aquellas personas identificadas por el agente maestro de RA u otros agentes de RA de su agencia. El RA-Master Agent tiene acceso a este inquilino y puede designar a cualquier persona identificada de este inquilino como agente RA.

Si una persona fue identificada por otro método del Smart Registration Service (por ejemplo, identificación por video en la UE), el RA-Master Agent no puede designar a esa persona como un agente RA debido al hecho de que está asociado con otro inquilino (el inquilino SRS). El RA Master Agent debe volver a identificarlo mediante el uso de la RA-App.

La única excepción es el primer RA-Master Agent: es identificado de todos modos por una persona de Swisscom, Swisscom Partner o, por ejemplo, una identificación de video y, por lo tanto, termina en el inquilino "incorrecto" de forma predeterminada. Cuando se configura la agencia, se busca al agente maestro RA nombrado y se lo traslada al nuevo inquilino correcto de la agencia RA. Sin embargo, no son posibles más aplazamientos.

Esta es una respuesta de prueba

C | Aplicación RA

Esto sucede indirectamente. En la práctica, el procedimiento es el siguiente: La agencia de RA primero nombra un agente maestro de RA. Este agente es identificado por Swisscom o un socio de Swisscom y recibe capacitación. A continuación, recibe una interfaz de usuario con la que puede convertir a otras personas identificadas por él solo en agentes RA o agentes maestros RA. Sin embargo, también deben someterse a una formación e-Learning automatizada solicitada.

En principio, Swisscom debe conservar los datos durante mucho tiempo (11 años en Suiza o 35 años en la UE). Pero las personas pueden ser desactivadas por el agente maestro de RA o por Swisscom para que ya no puedan firmar.

En promedio, una identificación se completa en 2 minutos.

Sostenga la cámara hacia arriba de modo que todo el documento de identidad quede capturado por el recorte (aún borroso si es necesario). Mueva la cámara lentamente más cerca de la placa y comenzará a enfocar de nuevo.

Las agencias de RA actúan en nombre de la oficina de registro de Swisscom. Además de los deberes de la ejecución cuidadosa de las actividades del registro, la protección de datos también es una prioridad. Los principios de protección de datos del art. Se aplican 28 DSGVO, que se reflejan de forma precisa en las medidas técnico-organizativas (TOM) en el contrato de la Agencia de RA. Se basan en 2 secciones del art. 28, que reflejan el uso de la aplicación en el dispositivo móvil:

  • La medida debe "garantizar la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios en relación con el procesamiento a largo plazo" y
  • Incluir un procedimiento para la revisión, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
  • El responsable del tratamiento y el encargado del tratamiento tomarán medidas para garantizar que las personas físicas bajo su autoridad que tengan acceso a los datos personales los procesen únicamente siguiendo instrucciones del responsable del tratamiento, a menos que estén obligados a hacerlo por la legislación de la Unión o nacional.

Esto significa que además del uso de empleados cuidadosamente seleccionados y capacitados, se debe garantizar la protección de la aplicación en el dispositivo móvil y también la protección del acceso. ¿Están los dispositivos adecuadamente protegidos contra virus? ¿Estará prohibido descargar programas de otras tiendas de aplicaciones que no ofrezcan suficiente protección? ¿Los empleados mantienen en secreto sus PIN y contraseñas? ¿Los dispositivos no están rooteados?

La tarea más importante del agente de RA es el examen estricto de los documentos de identificación que se le presentan y, en particular, la verificación estricta de la información de campo leída por OCR de la tarjeta de identificación / pasaporte, así como el registro correcto del número de teléfono móvil.

De acuerdo con las leyes de protección de datos, no ofrecemos ningún contrato de Agencia de RA con Agencias de RA fuera de las jurisdicciones mencionadas. Los agentes de RA que trabajen en jurisdicciones distintas de EEE / UE / CH no identificarán a personas que sean residentes de EEE / UE / CH.

D | Aceptación de los términos de uso e inicio del método de autenticación

Notifique a su agente RA-Master y pídale que busque en el portal el número de teléfono móvil. Puede reenviar el SMS con las condiciones de uso haciendo clic en el enlace con el símbolo PDF:

Asegúrese de no haber registrado a la persona en el modo de demostración de la aplicación RA (número de teléfono móvil +41001234567, “demostración” de la empresa).

Consulte la página de estado del servicio ( https://trustservices.swisscom.com/service-status/ ) para ver si hay alguna falla. Si no llega ningún SMS después de otro intento, informe al soporte.

Si ya está registrado (con la aplicación RA o el Smart Registration Service), debe observar lo siguiente:

  • Si ha confirmado los términos de uso con PWD / OTP durante la identificación, ha definido este método como un método de declaración de voluntad. Ahora, si habilita la aplicación Mobile ID como método, ya no podrá firmar hasta que haya sido identificado nuevamente.
  • Si ya usa el Mobile ID en la tarjeta SIM y desea usar la aplicación Mobile ID, debe usar el código de recuperación al activar o para autenticarse con el Mobile ID SIM en la activación y no para activar como un "nuevo Mobile ID". De lo contrario, esta aplicación también se considerará como un nuevo método de declaración de testamento y deberá volver a identificarse.
  • Lo mismo ocurre al revés si desea cambiar de una aplicación Mobile ID instalada a la tarjeta SIM Mobile ID.

El mensaje de error típico en tal caso es un mensaje de error con "desajuste de serie".

El Smart Registration Services intenta 5 veces los 3 días para enviar el SMS nuevamente. Solo si todos los intentos fallan después de 15 días, es necesaria una nueva identificación.

Siempre que no haya aceptado los términos de uso, siempre existe la posibilidad de rechazarlos. Si aceptó los términos de uso y también utilizó nuestro servicio, debemos registrar su registro de uso y los datos de registro durante un período de retención de 35 años en la UE y 11 años en Suiza. Pero fácilmente podría dejar de emitir firmas electrónicas.

E | Declaración de intenciones, firma y autenticación

En Suiza, cambiamos Mobile ID al modo de reserva PWD / OTP de forma predeterminada si la tarjeta SIM no está habilitada para Mobile ID. En la sala eIDAS funciona por defecto con la aplicación Mobile ID ( https://play.google.com/store/apps/details?id=com.swisscom.mobileid , https://apps.apple.com/de/app/ mobile-id / id1500393675 ), pero también podemos habilitar PWD / OTP.

La aplicación Mobile ID se basa en la interfaz Mobile ID, que también ofrece autenticación con huella digital o reconocimiento facial. Esta aplicación solo requiere una conexión a Internet durante la autenticación y, por lo tanto, se puede utilizar a nivel internacional. Sin embargo, todavía se requiere una tarjeta SIM internacional (número de teléfono móvil) para la configuración de la aplicación. Consulte https://mobileid.ch .

En general, también son posibles otros métodos de autenticación, pero estos deben ser aprobados por KPMG. Esto requiere la firma de un contrato de soporte de incorporación, que regula el concepto de implementación y la ejecución de la auditoría. Los nuevos métodos deben autorizarse por separado para ZertES y eIDAS.

Lamentablemente no. Tiene un nuevo medio de autenticación que no se registró inicialmente con la identificación. Es decir, debe ser identificado recientemente mediante el MobileID.

No hay garantía, pero debería funcionar en casi todas partes; uno puede tener una idea más cercana a esta descripción general:

https://www.swisscom.ch/en/residential/plans-rates/inone-mobile/roaming.html

(Vaya a "Verificación de tarifas", seleccione un tipo de contrato de modelo de suscripción arbitrario y el país)

Con la aplicación MobileID como medio de autenticación, usted es independiente del envío de SMS.

Una autenticación de 2 factores es necesaria para la firma calificada: “posesión” y “conocimiento”, es decir, solo la posesión (SMS) no es suficiente.

No, OTP es suficiente para firmas avanzadas.

La pérdida de la contraseña conduce a una nueva identidad digital. Los proveedores de la aplicación pueden reaccionar ante esto y, si es necesario, solicitar una nueva identificación del firmante, por ejemplo, con la RA-App.

Dado que ambos métodos requieren un secreto, así como la posesión del número de teléfono, no se puede activar ninguna firma para la identidad digital previamente existente una vez que se ha transferido el número de teléfono. Esto significa que la persona debe ser identificada nuevamente.

Dado que prácticamente no se puede asignar un número de línea fija a una persona, esto no es posible. El SMS está destinado a garantizar que se contacte con algo que sea asignado única y sin excepción a la persona que firma el documento.

Los dispositivos modernos están equipados con llamadas WIFI. También se pueden utilizar para iniciar sesión en una zona WIFI. Sin embargo, sin Internet, las firmas remotas no son posibles.

En el caso de un MobileID, puede usar un código de recuperación para transferir el MobileID a la nueva SIM ( https://www.mobileid.ch/en/login ). En el caso de PWD / OTP y el mismo número de teléfono, su opción de autenticación también permanece.

MobileID siempre se configura en combinación con una solución alternativa de PWD / OTP, es decir, se envía automáticamente una ventana de contraseña. Puede activar su MobileID en la plataforma https://mobileid.ch . Si se utiliza y activa la aplicación MobileID, se utiliza la aplicación MobileID.

En el caso estándar, después de la identificación, el cliente recibe primero los términos de uso del servicio de firma de Swisscom. El cliente lo confirma y, por lo tanto, activa una firma inicial de estas condiciones, en cuyo contexto también puede definir la contraseña por primera vez. La llamada "autenticación escalonada".

De forma predeterminada, Swisscom actualmente solo ofrece estos métodos. Sin embargo, la extensión se trabajará en el futuro, por lo que los métodos biométricos también pueden ser posibles si se ha otorgado la aprobación. Además, Swisscom acompañará opcionalmente al cliente si desea utilizar una solución auditada para permitir una firma adicional en la autoridad de reconocimiento. Se incurrirá en costos adicionales.

La base de la autenticación de 2 factores es el hecho de que ambos factores deben registrarse en relación con la autenticación, es decir, no se puede elegir una contraseña que solo conozca la aplicación del suscriptor, pero el suscriptor mismo ha sido identificado con RA-App. Tal excepción solo podría imaginarse si el propio participante realiza una identificación autorizada por delegación de RA y además diseña el procedimiento de autenticación de tal manera que ambos factores (inicio de sesión, liberación de SMS) se realicen en una breve sesión. Tanto el propio procedimiento de identificación como este procedimiento de sesión deben describirse en detalle en un concepto de implementación y requieren una autorización por parte de Swisscom y sus auditores. Aquí se incurre en costos adicionales.

Si ha sido identificado y ha utilizado previamente PWD / OTP:

  • Si desea utilizar la aplicación Mobile ID, debe volver a identificarse
  • Si desea utilizar Mobile ID (número de teléfono móvil suizo), debe volver a identificarse

Si ha sido identificado y ha utilizado previamente el Mobile ID:

  • Si ahora desea usar la aplicación Mobile ID (esto solo será posible en una tarjeta SIM que no admita Mobile ID) y use el código de recuperación de Mobile ID, puede continuar firmando
  • Si activa la aplicación SIN código de recuperación, debe volver a identificarse
  • Si desea utilizar PWD / OTP, debe volver a identificarse

Si ha sido identificado y ha utilizado la aplicación Mobile ID hasta ahora:

  • Si ahora desea usar el Mobile ID de la tarjeta SIM (esto solo será posible en una tarjeta SIM suiza) y usar el código de recuperación de la aplicación Mobile ID, puede continuar firmando
  • Si activa el Mobile ID de la tarjeta SIM SIN código de recuperación, debe ser re-identificado
  • Si desea utilizar PWD / OTP, debe volver a identificarse

Esto significa que Mobile ID y Mobile ID App son métodos de autenticación coordinados, PWD / OTP es un método de autenticación completamente diferente. La firma remota siempre requiere que los medios de autenticación se incluyan durante el registro (es decir, durante la identificación). Por lo tanto, en algunos casos, será necesaria una nueva identificación.

Como agente de RA, debe informar a Swisscom a través de la página de soporte en caso de que el teléfono móvil no esté protegido adecuadamente contra ataques maliciosos (como una contraseña con 8 caracteres, etc.) o si aún está conectado a la RA App ya que podrían ocurrir problemas graves de protección de datos. . En caso de firmas, debe cancelar su tarjeta SIM, eventualmente cambiar sus datos de acceso y dejar de colocar firmas hasta que reciba su nueva tarjeta SIM.

Swisscom no puede garantizar suficientemente la recepción del SMS. El único factor responsable de Swisscom es enviar el SMS lo más rápido posible. Ni las condiciones de recepción de la señal móvil ni el rendimiento del socio de roaming interno o externo se pueden controlar y se basan en contratos y estándares internacionales de telecomunicaciones.

El uso del nombre del remitente como "Swisscom" o similar sería útil para el destinatario. Pero, de hecho, hemos experimentado que nuestros socios de roaming a menudo tratan tales SMS como SMS no deseados.

F | Validez de los certificados

Sí, después de 5 años, las personas identificadas para firmas avanzadas también deben ser identificadas nuevamente. Sin embargo, para las firmas anticipadas es suficiente si la cédula de identidad era válida en el momento de la identificación. Si esto expira dentro de los 5 años, no es necesaria una nueva identificación. Para firmas calificadas, por otro lado, una identificación es válida mientras la tarjeta de identificación sea válida o por un máximo de 5 años después de esta identificación. En casos especiales, por ejemplo, cuando se utiliza la identificación bancaria, la validez de una identificación también puede restringirse a un período inferior a 5 años si la normativa así lo requiere.

G | Posibles aplicaciones

Sí, esta es la única tarea de la aplicación del suscriptor, que luego envía repetidamente el hash con la solicitud de firma al All-in Signing Service. Se puede generar cualquier número de firmas para el mismo documento digital.

Sí, pero esto requiere 2 canales de comunicación y configuraciones, es decir, la firma debe ser primero autenticada por la persona que firma a través de un canal (bajo demanda) y luego firmada organizacionalmente (con certificado estático creado previamente) por un certificado de autenticación SSL a través de un segundo canal.

Sí, se pueden firmar varios documentos con una sola aprobación dentro de una sesión. A un máximo de ca. 250 firmas.

Las firmas XML según el estándar XADES se pueden realizar en base a sellos pero no a firmas personales (en el momento). En el cliente hay que preparar el estándar XADES: Se debe implementar la llamada de una “firma simple”.

Para firmas en el área legal suiza: www.validator.ch (Atención, el validador no siempre está actualizado). Para firmas en el área legal de la UE: https://www.signatur.rtr.at/de/vd/Pruefung.html

Cabe señalar que los validadores de la UE están lejos de estar armonizados. Esto significa que los portales de prueba pueden presentar una firma electrónica calificada como "inválida", aunque cumpla con los requisitos para la datación eIDAS. La UE está trabajando en la armonización.

Solo se pueden validar las firmas QES. No hay validadores para las firmas AES.

Se deben abrir dos cuentas de usuario (ClaimedIdentity), cada cuenta está relacionada con el tipo de firma respectivo, es decir, la aplicación participante debe decidir, sobre qué cuenta envía una consulta de firma. Ambas cuentas se pueden direccionar a través de una interfaz, es decir, el mismo punto final. Hay una tarifa de servicio por cuenta. Se emiten 2 facturas a fin de mes. Por lo tanto, se deben presentar 2 contratos de servicio con 2 declaraciones de configuración y aceptación diferentes. Si tiene 2 áreas legales y 2 tipos de facturación, todavía tiene solo una interfaz (técnica), pero 4 puntos de interfaz de acceso al servicio y, por lo tanto, 4 veces una tarifa de servicio. Se duplica nuevamente a 8 ClaimedID, si ambos niveles de firma (QES / AES) están planificados con ambos tipos de facturación y ambas jurisdicciones.

En principio, una marca de tiempo también almacena la zona (el desplazamiento). A este respecto, todos los programas locales mostrarán la hora local real.

En principio, Swisscom proporciona un hash firmado y, por lo tanto, admite formatos PADES (PDF) y, en el caso de certificados de organización, formatos XADES (XML). Los archivos de Word no están firmados y no están destinados a este fin por ley.

No

No, solo existe una marca de tiempo común.

H | Integración y configuración de la interfaz

Principalmente sí. En caso de uso del apellido y el nombre de pila, debe ser exactamente el mismo que se encuentra en el DNI o pasaporte. Pero si esto es difícil de implementar, la función de plantilla puede admitir ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Esta característica permite tomar el control del nombre y apellido exactos que se utilizaron durante la identificación en combinación con el Servicio RA (SRS).

Swisscom también puede configurar el servicio de manera que solo se utilice un seudónimo en lugar del apellido y el nombre de pila. Además, el “Nombre común” (CN) podría usarse con los nombres que se usan habitualmente para esta persona (independientemente del documento de identidad). La llamada de verificación de RA-Service verifica en este caso el número de móvil que se utilizó durante la identificación y el país. El uso del seudónimo en verifyCall es independiente del uso del seudónimo en la llamada de solicitud de firma.

Sí, existen varias bibliotecas disponibles en el mercado que permiten una rápida implementación de una aplicación de firma. Todos ellos también cuentan con soporte especial para Swisscom Service:

Intarsys es un socio premium de Swisscom y conoce muy bien el servicio AIS desde un punto de vista técnico y puede brindar soporte de consultoría.

Swisscom rechaza cualquier responsabilidad por el funcionamiento sin errores de estas bibliotecas. Estos pueden contener errores y requieren conocimientos y experiencia especiales. El uso es por cuenta y riesgo del suscriptor.

Ver https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

Hay un modo de prueba y demostración que le permite probar la aplicación, pero no se transmiten datos. Para ello, se debe ingresar el número de teléfono móvil +41001234567 en el formulario de registro y el nombre de la empresa “demo”.

No. Swisscom incluso requiere que, cuando la pantalla PWD / OTP esté integrada como un “iFrame”, una persona externa pueda verificar que se origina en Swisscom. Por ejemplo, se pueden utilizar las funciones estándar del navegador que Swisscom publica en el enlace de su sitio web de acuerdo con el Capítulo 4 de las Condiciones de uso. Para la integración de iFrame, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No hay soporte para el desguace de pantalla como interfaz. Developers podría enfrentarse al hecho de que se cambiarán las pantallas. También es contradictorio con la implementación del “control exclusivo” entre el firmante y el certificado firmante.

Sí, pero solo como iFrame, las instrucciones se pueden encontrar aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sí, como se describe en la Guía de referencia ( www.swisscom.com/signing-service ) en "Método Step-Up" en el campo "Mensaje", el bloque de texto con el encabezado del mensaje para la expresión de intención y el idioma El ajuste con "Idioma" se puede configurar dentro del marco del protocolo. Para la ventana de entrada de SMS, el idioma también se puede configurar con el parámetro "Idioma".

El requisito previo para la instalación es una “declaración de configuración y aceptación” firmada por el cliente y verificada por la autoridad de registro global. Esta declaración contiene las obligaciones del operador de una aplicación de firma (por ejemplo, la posibilidad de mostrar el documento completo a firmar, asegurando el acceso al servicio), pero también las características del servicio.

Otro requisito previo es un certificado de acceso, que asegura la comunicación de la aplicación de firma al servicio de firma.

Tras comprobar el documento, nuestro Servicio de Configuración recibe la orden de activación del servicio con el certificado de acceso enviado y la especificación seleccionada en la configuración y declaración de aceptación. En el caso de firmas calificadas, el servicio inicialmente solo se activa para firmas “avanzadas”. Posteriormente, al contacto nombrado en la declaración de configuración y aceptación se le solicita una firma de ejemplo con la firma avanzada. Si esto es impecable, el servicio se cambia al nivel "calificado" si es necesario. El cliente también será notificado de esto. Ahora tiene 10 días para informar de cualquier irregularidad directamente al equipo de preparación. Si no recibe ninguna reclamación durante este tiempo, se acepta la conexión al servicio. Luego, se pueden informar más incidentes a Swisscom a través del Soporte de primer nivel en caso de un contacto directo con Swisscom o con el socio revendedor.

El certificado de acceso puede ser un certificado autofirmado. Por ejemplo, con el software openssl.

Requisitos para el nombre distinguido:

  • CN = <URL del sistema de abonado que realiza la comunicación con AIS u otra identificación única del sistema de abonado>
  • O = <Nombre de la organización>
  • Correo electrónico = <Correo electrónico con fines de notificación, por ejemplo, en caso de fin de validez>
  • C = <País de organización>

Se deben tener en cuenta los siguientes requisitos adicionales al preparar el certificado:

  • Plazo máximo 3 años
  • Algoritmo hash mínimo SHA-256
  • Longitud de clave mínima de 2048 bits

Aún se aplican condiciones especiales para los certificados de acceso en el marco de la creación de sellos regulados (ZertES) o calificados (eIDAS): la clave privada del certificado de acceso debe crearse en un módulo criptográfico en una ceremonia conjunta de un representante de la autoridad de registro de Swisscom. Este módulo debe cumplir con los requisitos de FIPS 140-2 nivel 2 o similar, por ejemplo, Yubikey, Feitan key o Microsoft Key Vault. Alternativamente, se puede presentar un concepto sobre cómo se puede lograr la asignación del certificado de acceso a la persona responsable de la organización de otras maneras.

En el caso de un sello, además de la declaración de configuración y aceptación por parte del operador de la plataforma de firma, también se requiere una solicitud de certificado para el sello certificado, un certificado de organización. A diferencia del certificado de firma personal, el certificado de sello se emite por tres años. La solicitud de certificado debe estar firmada por personas autorizadas de la organización. La autorización puede resultar del registro (por ejemplo, procuración) o también puede ser un poder especial, que se ha emitido, por ejemplo, para los operadores del centro informático. Swisscom necesita la prueba de este poder. Estas personas también son identificadas personalmente por adelantado por un representante de la oficina de registro de Swisscom utilizando RA-App. También podría ser, por ejemplo, un agente RA de un revendedor que haya realizado la identificación personal. Esto le permite a la persona firmar la solicitud usando una firma electrónica. La solicitud se envía a Swisscom sin firmar y Swisscom invita a las personas a firmar electrónicamente. Los siguientes pasos ahora difieren según el tipo de sello:

Firma avanzada: el solicitante envía a Swisscom un certificado SSL, que desea utilizar como certificado de acceso para la interfaz del sello.

Firma calificada / regulada: el solicitante acuerda una fecha con Swisscom para la creación conjunta de una clave privada. Esto debe crearse en un dispositivo criptográfico basado en la calificación FIPS 140-2 nivel 2 o similar (por ejemplo, Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.). Luego se crea un certificado de acceso basado en esta clave. Es decir, para el proceso de firma se debe liberar el acceso mediante este certificado. Alternativamente, se puede presentar un concepto sobre cómo se puede lograr la asignación del certificado de acceso a la persona responsable de la organización de otras maneras.

La incrustación de hashes firmados debe ser tarea de los especialistas en PDF o de las bibliotecas correspondientes. El espacio para la firma debe calcularse previamente. Eche un vistazo a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

La siguiente solución puede proporcionar una solución. Presentamos esto aquí sin garantía, ya que Swisscom se enfoca solo en el servicio y no en la aplicación de firma:

  • Cree un PDF con un campo de firma en blanco y precargado
  • El rango de bytes debe llenarse con ceros hasta el tamaño esperado
  • Calcular el hash del documento
  • Firme el hash con el todo incluido Signing Service
  • Complete el hash firmado en el campo de firma vacío
  • Iterar al campo de firma vacío
  • Determine el rango de bytes del campo de firma vacío
  • Calcular el desplazamiento del rango de bytes
  • Abra el documento con el campo de firma vacío en modo lectura-escritura y busque el desplazamiento donde se insertó el hash

También es muy importante seguir las pautas para el estándar PADES y la validación a largo plazo: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

En los parámetros devueltos de Verify Call, se devuelve el llamado "serial". Si esto comienza con "SAS" (es decir, SASxxxxxxx), el cliente utilizará la autenticación PWD / OTP. Si comienza con "MID" (es decir, MIDxxxxxx), el cliente utiliza el procedimiento Mobile ID. Sin embargo, no es posible distinguir entre la aplicación Mobile ID y la tarjeta SIM Mobile ID.

Sin embargo, los resultados se pueden utilizar, por ejemplo, para proporcionar textos de ayuda especiales (por ejemplo, si se olvida la contraseña, etc.) al cliente, o para hacer referencia a la declaración de voluntad en el teléfono móvil.

VerificarCall le permite verificar si un firmante ya está registrado o no. Si elige el seudónimo, solo necesitará el número de teléfono móvil y el país del firmante. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS # 1 solo es compatible con el formato CADES y los sellos, pero no con las firmas personales.

No, solo PADES / CADES para sellos y PADES para firmas personales.

Es compatible con Swisscom para encontrar un nombre para ClaimedID (acceso a signing service).

Sí, simplemente marque la casilla de verificación correspondiente.

I | Rendimiento

Actualmente estamos en proceso de ampliar nuestras capacidades con otros algoritmos (pregeneración de claves) y expansión de HW. Dado que varios clientes utilizan el servicio, asumimos una carga máxima de una solicitud por segundo en promedio por cliente. Opcionalmente, es posible un rendimiento superior, es decir, capacidades especialmente reservadas.

Está limitado a 250 debido a razones de seguridad más que a la capacidad del servicio.

Tenga en cuenta que instalamos un WAF para proteger nuestro servicio contra ataques de denegación de servicio. Si desea realizar algunas pruebas masivas, póngase en contacto con nosotros de antemano.

La firma debe estar firmada con una declaración de voluntad (autorización) por Mobile ID (SIM / App) o PWD / OTP. Después de enviar la solicitud, el usuario generalmente tiene 80 segundos para ingresar la autorización. El valor no es ajustable.

J | Facturación

Cada firma se calcula individualmente, es decir, en este ejemplo se calculan 5 firmas.

No, se ofrecen a través de dos ClaimedID diferentes y se facturarán de forma independiente.

Swisscom no cobra ningún costo por el envío de Mobile ID o SMS. Dependiendo de la tarifa del socio de itinerancia, es posible que se generen costes por itinerancia (lo que ocurre muy raramente, por ejemplo, en cruceros).

Aquí se deben abrir dos cuentas de usuario (ClaimedIdentity), cada cuenta está conectada con un método de facturación. Esto significa que la aplicación del suscriptor debe decidir por sí misma qué cuenta utilizará para enviar una solicitud de firma. Hay una tarifa de servicio por cuenta. Se emiten 2 facturas a fin de mes.

No hay costos para estos meses.

K | Protección de Datos

Sí, se hace una distinción entre si los signatarios han aceptado las condiciones de uso de Suiza o la UE o ambos. Swisscom (Schweiz) AG también procesa todos los datos para Swisscom IT Services Finance SE en Viena.

El nombre distinguido contiene el nombre de pila, el apellido y el país de nacimiento / registro o el país de origen de la persona, o un seudónimo con un número de serie que el registro puede rastrear de forma exclusiva hasta una persona. Los nombres de organizaciones solo se permiten en casos especiales

Suiza no pertenece a la UE y, por lo tanto, no ha introducido una legislación de la UE, el llamado Reglamento general de protección de datos (GDPR). En realidad, el RGPD también es aplicable si las empresas tienen su sede en Suiza y ofrecen servicios en la UE.

Por lo tanto, Swisscom está sujeta a las mismas obligaciones de manejo de datos que todas las demás organizaciones que deben cumplir con el GDPR:

  • obtener el consentimiento de la persona cuyos datos se tratan
  • Garantía de "Privacidad por diseño" y "Privacidad por defecto"
  • nombrar un representante de protección de datos
  • crear una lista de actividades de procesamiento
  • informar sobre violaciones de la protección de datos a la autoridad supervisora
  • realizar una evaluación de impacto en la privacidad

Todas las aplicaciones relacionadas con la protección de datos y que se utilizan para el procesamiento de datos, por ejemplo, también la RA-App deben ser compatibles con GDPR. Swisscom proporciona información sobre esto en sus páginas:

Suiza: www.swisscom.com/signing-service

Austria: www.swisscom.at

con las correspondientes declaraciones de protección de datos según GDPR.

Suiza siempre ha sido y se considera un tercer país seguro de conformidad con el art. 45 GDPR (transferencia de datos basada en una decisión de adecuación), es decir, las autorizaciones habituales como con otros terceros países (por ejemplo, los EE. UU.) No son necesarias. Gracias a su Ley de Protección de Datos y la continua adaptación al RGPD, Suiza tiene un "nivel adecuado de protección para la transferencia de datos personales" de acuerdo con los criterios de la UE, es decir, debe ser tratado como un país de la UE cuando se transfieren datos:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Como parte de sus auditorías en curso, Swisscom debe asegurarse de que se cumplan todos los requisitos estrictos de protección de datos necesarios para la emisión de firmas digitales, tanto frente a la autoridad de certificación en Suiza como frente al organismo de evaluación de la conformidad en Austria. Esto significa que, además de la autodeclaración, los proveedores de servicios de confianza y los servicios de certificación están obligados por la legislación y los estándares internacionales aplicados, como ETSI 319401, a demostrar y haber auditado la protección de datos adecuada para todos los datos personales.

Los requisitos de protección de datos que deben demostrarse y auditarse también se aplican a las actividades de la autoridad de registro, una tarea de un proveedor de servicios de confianza y un proveedor de servicios de certificación. Por lo tanto, la aplicación RA como parte del proceso de registro debe garantizar la protección y la privacidad de los datos. La RA-App en sí no almacena ningún dato personal de forma permanente. Tampoco se pueden exportar datos. Tan pronto como se haya completado la identificación, los datos se transfieren firmados por el agente de RA como las llamadas pruebas. Esta evidencia se almacena en el servicio RA de Swisscom bajo estrictas condiciones de seguridad (por ejemplo, acceso de 4 ojos). Solo unas pocas personas tienen acceso a estos datos y solo pueden transmitirlos en base a una orden judicial o se les permite verificar la calidad de la identificación. Según la ley, Swisscom tiene una responsabilidad ilimitada por la correcta ejecución de la firma y, por lo tanto, también la identificación.

Los Agentes RA Master tienen acceso web a un portal en el que pueden ver a todas las personas identificadas por RA Agents con su apellido, nombre, fecha de caducidad del documento de identidad y número de teléfono móvil. Los documentos de identidad y las fotos (las llamadas "pruebas") no son accesibles ni exportables.

Swisscom está legalmente obligado a registrar datos personales para la firma. Por tanto, es responsable de estos datos. Esto significa que Swisscom no puede desempeñar el papel de procesador de datos, incluso si recibe, por ejemplo, datos de empleados de una empresa cliente para la firma. Swisscom tiene un mandato legal como el de los proveedores de servicios postales o de telecomunicaciones. Además, Swisscom tiene una relación contractual legal con los signatarios con los términos de uso. En este acuerdo, el firmante también acepta el uso de datos.

Con la aplicación RA, Swisscom transfiere el registro de los datos de identidad a un proveedor de servicios externo, al que se hace referencia en los contratos como la "agencia RA". El GDPR requiere en este caso un contrato de procesamiento de pedidos. Por lo tanto, la agencia RA debe cumplir con las obligaciones para el procesamiento de datos de pedidos.

El cumplimiento del procesamiento de datos de pedidos GDPR también se requiere en proyectos puramente suizos. Hay dos razones para esto:

  • Por un lado, rara vez se puede garantizar que las personas identificadas en Suiza no sean ciudadanos de la UE sujetos al principio de mercado del RGPD.
  • Por otro lado, la aplicación RA no se puede utilizar de tal manera que solo se identifiquen las personas de Suiza, es decir, el procesamiento de datos de pedidos siempre se lleva a cabo para Swisscom IT Services Finance SE en Viena también.

Hay proyectos en los que Swisscom se basa en procedimientos de identificación legalmente reconocidos y auditados con terceros. Un ejemplo típico es un banco que realiza una identificación de presencia de una persona como parte de su proceso KYC. En este caso, Swisscom recibe una copia de los datos del banco para sus propios fines comerciales (firma). El procesamiento de datos de pedidos no es necesario aquí, ya que hay dos partes responsables de los datos. Por el contrario, el principio de control conjunto del GDPR tampoco se aplica aquí, ya que la capacidad de respuesta de los datos no tiene el mismo propósito comercial y ambas partes no actúan de manera responsable en el sentido de un propósito comercial común. El banco actúa para su propósito comercial, por ejemplo, abrir una cuenta, y Swisscom persigue su propósito comercial de emitir firmas. No obstante, en este caso nuestros contratos sobre la “delegación de actividad registral” también contienen un mínimo de disposiciones sobre cómo proceder con respecto a la protección de datos y el RGPD.

En el caso de una firma remota, Swisscom conserva y gestiona las claves de los certificados de firma en fideicomiso. En el caso de una firma personal, los certificados de firma solo se generan para la firma y pierden su validez después de aprox. 10 minutos. Los certificados de empresa para sellos tienen una validez de hasta 3 años. De acuerdo con la ley, la clave privada debe almacenarse en un dispositivo de creación de firmas (calificado). La memoria para esto es un dispositivo que está diseñado principalmente para el almacenamiento de claves, el HSM (Módulo de seguridad de hardware). Está sujeto a una estricta regulación, auditoría, en cuanto a estándares de seguridad y acceso a este dispositivo. Las firmas en la UE y Suiza están sujetas a estándares de seguridad particularmente altos, que solo están disponibles en unos pocos fabricantes de HSM en todo el mundo.

L | Temas legales y regulatorios

Adobe es un proveedor estadounidense de un software que puede mostrar documentos PDF. El producto más destacado y extendido es el denominado “Adobe Acrobat Reader”. Esto permite la verificación de firmas basadas en certificados. El hecho de que una firma sea válida y, por lo tanto, se muestre con una marca verde depende de muchos aspectos:

  • Adobe tiene su propio conjunto de reglas, que clasifica las CA emisoras de proveedores de confianza o proveedores de servicios de certificación como "confiables". Estos se enumeran en una lista de confianza de Adobe (AATL). Incluso si no está incluido en la descripción del servicio, Swisscom siempre se esfuerza por figurar aquí. Además, las empresas cotizadas deben pagar tasas anuales por esta entrada y presentar su autoevaluación. Según Adobe, los proveedores de servicios de confianza de eIDAS se consideran dignos de confianza si también han celebrado un contrato con Adobe.
  • Adobe ofrece una variedad de configuraciones que pueden conducir a una validación completamente diferente: por ejemplo, en lugar de la lista de confianza de Adobe, también se puede usar la lista de confianza de Microsoft Windows, que generalmente solo mantiene proveedores de servicios de confianza que también emiten certificados SSL o de correo electrónico. . Sin embargo, la verificación también puede basarse en una hora dada por el reloj de la computadora y no en la marca de tiempo en el documento.

Esto significa que no puede confiar en la validez de una firma en Adobe, pero obtiene información sobre si se han realizado cambios en el documento desde que se estableció la firma y cómo se ve el certificado de firma.

Ambos deben ser personas de TI que estén familiarizadas con la aplicación. No es necesario que sea una persona con el rol oficial de “Delegado de Privacidad”. Swisscom simplemente quiere mantener el principio de los 4 ojos aquí. Los roles son: Poder proporcionar información sobre la administración de la aplicación del usuario (quién tiene acceso, qué podría manipular un administrador, dónde podría haber un problema, conexión SSL a Swisscom) y sobre temas como protección antivirus, control de acceso. en general, etc. al responsable de seguridad.

Por un lado, una empresa interna puede convertirse en socio revendedor de Swisscom para otras empresas en caso de que se planee un gran volumen. En este caso, el flujo de pago pasa directamente solo a través de esta empresa individual. Una empresa también puede asumir la responsabilidad total del funcionamiento de la aplicación del suscriptor. Incluso entonces, las facturas solo pasarán por esta empresa. A continuación, puede identificar a los empleados de las otras empresas.

Si todas las empresas quieren operar la aplicación de suscriptor de forma independiente (con su propia responsabilidad y responsabilidad) y también quieren proporcionar agentes de RA ellos mismos, se requiere un contrato por separado para cada empresa.

Cada año, Swisscom invierte grandes sumas de dinero en auditorías en curso. Sin embargo, para poder colocar en el mercado la oferta de un prestador de servicios de confianza a un precio razonable, este servicio se ofrece de forma estandarizada. Eso significa en particular:

  • El cliente debe adherirse al proceso de pedido estándar con los documentos de contrato estándar publicados por los auditores.
  • La oferta no incluye evaluaciones adicionales por parte de los participantes ni el examen y aceptación de los textos de los propios contratos.

Muchos aspectos del proveedor de servicios de confianza están sujetos no solo a las condiciones en la ejecución del servicio, sino también a la especificación de obligaciones importantes, regulaciones de responsabilidad y servicios de cooperación en los documentos del contrato. Por lo tanto, estos documentos contractuales también están sujetos a auditoría o también se envían a los organismos estatales de evaluación de la conformidad. Por lo tanto, no se pueden aceptar cambios en el sistema legal, ni se pueden aceptar los anexos contractuales del participante, especialmente si están sujetos a la ley extranjera aplicable.

No obstante, si es necesario adaptar los textos contractuales, añadir normativas contractuales (p. Ej., Su propio Código de conducta, Declaración de protección de datos, NDA, etc.), procesar cuestionarios de evaluación especiales o si incluso ha descubierto errores o formulaciones poco claras, infórmelo a nuestra gestión de productos.

Si hay errores o ambigüedades evidentes, la gestión de productos inicia el proceso de cambio correspondiente y se implementa lo más rápido posible.

Para la evaluación de otras preguntas, se forma un equipo de procesamiento que recurre a los expertos relevantes (por ejemplo, departamento legal, oficial de seguridad, oficial de cumplimiento, etc.) y lleva a cabo una evaluación de la solicitud. A tal efecto, se debe abonar una tasa específica del proyecto de 6.000 francos suizos. Si el equipo de expertos no pudo encontrar una solución directamente, preparará una respuesta y una oferta, que presentará y evaluará los pasos adicionales por parte de Swisscom.

No, solo para el funcionamiento de la aplicación de firma no se requiere certificación ni auditoría. Dentro del alcance de una "declaración de configuración y aceptación", el cliente realiza una autodeclaración para operar correctamente la aplicación de firma, es decir, no intercambiar el hash de un documento y mostrar realmente el documento a firmar al cliente (WYSIWYS = “Lo que ves es lo que firmas”). El tráfico de datos entre la aplicación de firma y Swisscom debe estar encriptado y debe garantizarse la protección básica contra virus y ataques como con cualquier otro sistema. Una auditoría oficial con certificación solo puede ser necesaria si el sistema tiene su propia identificación, especialmente en relación con su propio método de autenticación. En Suiza, la identificación con los métodos de autenticación de Swisscom puede tratarse de una manera simplificada mediante un “concepto de implementación” adecuado presentado por el cliente y aprobado por Swisscom; en la UE, generalmente es necesaria una auditoría oficial. Como regla general, un método de autenticación siempre debe estar certificado, ya que esto debería garantizar el "control exclusivo" del certificado de firma (denominado "control exclusivo" en el contexto del ETSI).

En principio, la empresa debe designar representantes. Estos representantes deben ser los representantes registrados de acuerdo con el registro comercial o empresarial, o empleados con poderes apropiados firmados por los representantes registrados. En cualquier caso, las personas deben estar identificadas personalmente con nuestra RA-App. En Suiza, solo las empresas registradas en el Registro UID pueden solicitar sellos. Con el sello, el certificado de acceso SSL entre la aplicación de firma en el cliente y Swisscom sirve como autenticación de la empresa. Por tanto, el certificado de acceso debe ser entregado por el representante de la organización. Con el sello avanzado, la entrega simple es suficiente; con el sello calificado, se lleva a cabo una ceremonia de entrega conjunta en la que se genera conjuntamente el certificado de acceso. La clave privada debe almacenarse en un dispositivo criptográfico (FIPS 140-2 nivel 2 como mínimo).

En principio, Swisscom tiene una responsabilidad ilimitada conforme a la ley por la emisión incorrecta de certificados calificados. En el caso de certificados avanzados, esta responsabilidad puede ser limitada. Swisscom también está asegurado obligatoriamente para este propósito. En caso de errores en la aplicación de la firma (por ejemplo, el intercambio de un hash de un documento) o errores en la identificación por parte de registros de terceros, Swisscom a su vez responsabilizará a estos terceros. Para evitar los riesgos de responsabilidad, se imponen altas exigencias al proceso de emisión y contratación y generalmente se requiere la posibilidad de auditar a los terceros involucrados.

La legislación suiza, es decir, la Ley Federal Suiza de Firma Electrónica (ZertES / SCSE), establece los requisitos que las organizaciones deben cumplir para ser reconocidas como un servicio de certificación. El organismo de acreditación acreditado para la acreditación de Swisscom como servicio de certificación en Suiza es KPMG (número de acreditación SCESm 0071). Emite un certificado de evaluación de la conformidad (disponible en www.swisscom.com/signing-service). Swiss Accreditation Service SAS mantiene una lista de servicios de certificación acreditados:
https://www.sas.admin.ch/sas/en/home/akkreditiertestellen/akkrstellensuchesas/pki.html

Con la entrada en vigor del Reglamento sobre Identificación Electrónica y _Servicios_de_confianza_ para las transacciones electrónicas en el mercado interior de la Unión Europea (eIDAS), se han sentado las bases para la comunicación electrónica legalmente válida y la identificación electrónica segura en toda Europa. Con la ayuda de _servicios_de_confianza_ como firmas electrónicas, sellos, sellos de tiempo, servicios de entrega y certificados de autenticación, empresas, administraciones y particulares pueden intercambiar documentos digitales como ofertas, pedidos, contratos, etc.dentro de la Unión Europea sobre una base legal uniforme . Por lo tanto, el nuevo reglamento de la UE reemplaza la ley nacional de firmas y los reglamentos de firma.

En virtud de este Reglamento (CE) n.o 910/2014 / UE (Reglamento eIDAS) , las Listas de confianza nacionales tienen un efecto constitutivo. En otras palabras, un proveedor de servicios de confianza y los _servicios_de_confianza_ que proporciona estarán calificados solo si aparecen en las Listas de confianza. En consecuencia, los usuarios (ciudadanos, empresas o administraciones públicas) se beneficiarán del efecto jurídico asociado a un determinado servicio de confianza cualificado solo si este último figura (como cualificado) en las Listas de Confianza.

La subsidiaria de Swisscom en Austria, "Swisscom IT Services Finance SE", Viena, ha sido incluida en esta lista de confianza con certificados y sellos calificados:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE ha encomendado a Swisscom (Suiza) Ltd la operación del servicio fiduciario y también ha delegado las actividades de autoridad de registro a Swisscom (Suiza) Ltd. Swisscom (Suiza) Ltd., por lo tanto, ofrece el servicio al mercado y también acepta documentos contractuales. en nombre de Swisscom IT Services Finance SE.

Swisscom solo puede confirmar que puede emitir firmas calificadas en ambos sistemas legales de acuerdo con el Reglamento eIDAS de la UE y la Ley ZertES de Suiza. Las firmas suizas calificadas solo se reconocen como calificadas en Suiza y las firmas calificadas eIDAS en la UE.

Si la firma calificada cumple con algún contrato, siempre debe ser verificado por un abogado. Swisscom no puede proporcionar ninguna información legal a este respecto. Esto no solo está relacionado con la firma, sino también con otros puntos que se acuerden en los contratos. Por ejemplo, el requisito de "devolución por correo certificado" puede significar que una firma electrónica no se puede ejecutar en absoluto, ya que una ruta de papel postal es obligatoria.

Tanto en los sistemas legales de la UE como en Suiza, la inversión de la carga de la prueba (y en Alemania también la evidencia prima facie en comparación con la evidencia visual) se aplica en principio a las firmas calificadas. Esto significa que una parte contraria debe probar que la firma calificada no se ejecutó correctamente si es impugnada. Y, por supuesto, Swisscom puede proporcionar verificaciones certificadas por KPMG para demostrar que la firma calificada se ha ejecutado debidamente.

Los períodos de conservación para la verificación de identidad y el diario de actividades y, por lo tanto, también los períodos de prueba son de 11 años en Suiza y de 35 años en la UE. Swisscom generalmente utiliza el estándar de validación a largo plazo de ETSI (LTV).

La validación a largo plazo significa validar una firma de tal manera que siga siendo válida durante mucho tiempo. La validación de LTV solo permite la validación siempre que el certificado raíz de la marca de tiempo no haya expirado. Por lo tanto, es aconsejable volver a sellar la fecha y hora de los documentos antes de su vencimiento si se desea conservar la evidencia a largo plazo, de modo que la integridad y el significado de la evidencia de la firma continúe garantizada.

En principio, los documentos PDF también deben gestionarse en archivos seguros. Puede surgir una situación en 5, 10 o 20 años en la que los algoritmos de firma se “resquebrajen”, es decir, ya no se pueda garantizar la integridad o autenticidad. Por lo tanto, los buenos sistemas de archivo prevén una renuncia regular, por ejemplo, con una marca de tiempo, que siempre utiliza el algoritmo más reciente y, por lo tanto, garantiza la integridad del documento.

La web ofrece diferentes enlaces con procedimientos optimizados para ello, por ejemplo, “Archisig”. La BSI alemana también ha publicado una directriz técnica "Preservación del valor probatorio de los documentos firmados criptográficamente". Es la especificación de los requisitos técnicos de seguridad para la preservación a largo plazo del valor probatorio de los documentos y datos electrónicos firmados criptográficamente junto con los datos administrativos electrónicos asociados (metadatos).

Un middleware definido para estos fines (middleware TR-ESOR) en el sentido de esta guía comprende todos aquellos módulos e interfaces que se utilizan para asegurar y mantener la autenticidad y para probar la integridad de los documentos y datos almacenados.

La experiencia ha demostrado que los períodos de transición pueden durar de 3 meses a 2 años.

No.

Después de la terminación del contrato, los certificados de sello válidos existentes serán revocados.

La forma en que se debe realizar dicho escenario de "cierre" está regulada por la ley: el CP / CPS del servicio de certificación o del servicio de confianza describe los procedimientos exactos. Debe haber un plan de cierre, y la autoridad supervisora notificada u OFCOM generalmente designará un sucesor que podría ofrecer el servicio a los clientes. Este sucesor normalmente también recibirá la Lista de revocación de certificados y, por lo tanto, la lista de validez de los certificados, siempre que Swisscom no los publique. La lista seguirá funcionando durante años, por lo que se podrá seguir verificando la validez de las firmas. La evidencia en los registros para el servicio debe mantenerse de acuerdo con los períodos de retención incluso después de la terminación de más de 11 o incluso 35 años, Swisscom o un sucesor designado debe establecer un sistema de archivo para esto, para que esta información también se pueda utilizar en negociaciones legales. . Las identificaciones proporcionadas ya no se pueden utilizar con un posible sucesor, es decir, en este caso son necesarios nuevos registros.

Las firmas electrónicas pueden presentarse como prueba en un litigio. Por regla general, a excepción de la firma calificada, están sujetos a la evaluación gratuita de pruebas. Dado que las firmas electrónicas “simples” y “avanzadas” apenas se definen o solo de manera aproximada por ley, es responsabilidad del tribunal aceptar o no dicha firma. La parte que desee presentar estas firmas como válidas deberá aportar las pruebas pertinentes. En el caso de Swisscom, es útil que las firmas avanzadas también estén sujetas a una auditoría muy estricta de acuerdo con el estándar ETSI para firmas “NCP +” y, por lo tanto, se pueden utilizar dichos informes de auditoría. En el caso de firma calificada, se aplicará la revocación de pruebas. Dado que la firma calificada está determinada con precisión por la ley y, por ejemplo, tanto Suiza como Austria ofrecen validadores para la validez de dichas firmas en la web, estas firmas se consideran válidas hasta que una de las partes demuestre lo contrario y, por lo tanto, también pruebe que la autoridad supervisora o la OFCOM así como los auditores no han cumplido con sus obligaciones. Después de 11 años en Suiza o 35 años en Austria, la prueba también puede causar dificultades en el campo calificado, ya que los documentos de registro deben destruirse. Sin embargo, la firma sigue siendo visible como "calificada".

En el contexto de una prueba después de muchos años, también debe tenerse en cuenta que los documentos archivados electrónicamente deben tener el sello de tiempo repetidamente de vez en cuando. Puede suceder que los algoritmos ya no sean tan robustos. Una marca de tiempo sella el documento con los últimos algoritmos, protegiendo la integridad del documento, incluidas las firmas.

Las firmas eIDAS calificadas solo se consideran "calificadas" en el área de la UE (y el EEE), y las firmas ZertES / SigE también se consideran calificadas solo en la jurisdicción suiza. Esto significa que cuando un tercer estado elige la ley, estas firmas ya no pueden lograr su efecto “calificado” o, si es necesario, llegar a serlo. ni siquiera reconocido.

Suiza (QES), ZertES:

El CP / CPS establece que la identificación y la documentación almacenada se pueden utilizar por un máximo de 5 años, más corto si el período de validez del DNI / pasaporte presentado finaliza antes del período de cinco años o si el procedimiento de identificación por parte de el auditor no concede 5 años.

Se aplica el período de retención de acuerdo con el artículo 11.1 de la Ordenanza de SigE / ZertES (diario de actividades): "Los proveedores reconocidos conservarán los registros relacionados con sus actividades y los documentos de respaldo relacionados con ellos durante once años". Swisscom también entiende este período como un período de retención para los documentos presentados en el proceso de identificación, en particular una copia de la identificación.

Se agregó una reserva de 1 año como “colchón de seguridad” para evitar que las agencias de RA de Swisscom puedan calcular los 11 años de manera diferente, lo que significaría que Swisscom ya no tendría documentación en casos específicos, especialmente en la aplicación del Artículo 17 del SigE / ZertES (responsabilidad ilimitada).

  • Como resumen, el tiempo de archivo es de 17 años, que también se describen en las condiciones de uso.

Europa, (QES), eIDAS:

Esta es la misma justificación y derivación que en el caso de QES en Suiza solo con la diferencia de que en Austria el período de retención legal es de 30 años. El artículo 10.1 de la SVG (Ley de Firma y Servicios de Confianza) establece:

Derechos de acceso y período de retención

10. (1) A petición de los tribunales u otras autoridades, un TSP calificado otorgará acceso a la documentación de conformidad con el Artículo 24 (2) lit. h eIDAS-VO y su base de datos de certificados.

(2) […].

(3) La documentación es proporcionada por el TSP calificado durante 30 años, calculados a partir de la fecha de ingreso del certificado calificado al final de la vigencia o, en su defecto, 30 años a partir de la fecha en que se emitió la información relevante sobre los datos y recibido por el VDA calificado en el curso de sus actividades.

  • Como resumen, el tiempo de archivo es de 36 años, que también se describen en los Términos de uso de eIDAS.

Firmas avanzadas (eIDAS, ZertES)

El CP / CPS establece que la identificación y la documentación archivada se pueden utilizar durante un máximo de 5 años, más corto si el período de validez de la tarjeta presentada finaliza antes del período de cinco años o si el procedimiento de identificación no permite 5 años.

No existen períodos de retención legales en el área de AES, ya que los períodos de retención no están regulados por ley. Sin embargo, los estándares ETSI prevén un período de 7 años. Esta información se deriva de la Directiva ETSI EN 319 411-01:

6.4.6 Archivo de registros

Se aplican los siguientes requisitos particulares:

NOTA: ETSI TS 101 533-1 [i.13] sugiere disposiciones sobre cómo preservar los objetos de datos digitales.

a) El TSP conservará lo siguiente durante al menos siete años después de que cualquier certificado basado en estos registros deje de ser válido:
i) registro de todos los eventos relacionados con el ciclo de vida de las claves administradas por la CA, incluidos los pares de claves del sujeto

generado por la CA (véase la cláusula 6.4.5, elemento g));

ii) documentación tal como se identifica en la cláusula 6.3.4.

Se agregó una reserva de 1 año como “colchón de seguridad” para evitar que las agencias de RA de Swisscom pudieran calcular los 11 años de manera diferente.

  • Como resumen, el tiempo de archivo es de 13 años, que también se describen en los Términos de uso de eIDAS.

En el caso de los certificados personales, Swisscom solo emite certificados a corto plazo (los denominados certificados “one-shot”) que tienen una duración de 10 minutos y solo se utilizan para una solicitud de firma. La probabilidad de que el certificado se haya visto comprometido durante estos 10 minutos es prácticamente inexistente. Después de eso, el certificado no es válido y no se puede comprometer. Gracias a la validación a largo plazo, las firmas con este certificado siguen siendo válidas y también se pueden validar por períodos de tiempo después de su vencimiento.

Si toda la CA (es decir, el certificado raíz) de la certificación y el servicio de confianza se ha visto comprometida, existe un proceso que Swisscom describe en su CP / CPS (consulte Área de descargas – Repository).

Si un firmante pierde su medio de autenticación o descubre que su identidad se ha determinado incorrectamente, nuestro equipo de soporte debe ser informado de inmediato. En una relación contractual con uno de nuestros socios, comuníquese con el socio con el que ha proporcionado su firma o identificación. Luego, tomará más medidas para bloquear esta identificación. Si un certificado de sello se ha visto comprometido, utilice los datos de contacto proporcionados en https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

  1. Contrato cerrado oralmente: Muy difícil de probar (solo con el testimonio de otras personas)
  2. Firmado con una firma simple, por ejemplo, una imagen de firma escaneada: el mismo problema. El proceso de generación de esta firma debe ser analizado en el juzgado y debido a la debilidad del procedimiento el testigo de otras personas u otras insinuaciones jugará una regla mayor para acreditar el poder.
  3. AES: para la verificación de una firma válida, las partes deben acudir nuevamente a los tribunales. El tribunal pedirá a un especialista que investigue la firma electrónica avanzada de Swisscom. Debido a las auditorías realizadas por Swisscom, el especialista puede beneficiarse de ellas. Sin embargo, el AES es más débil que el QES, por ejemplo, en lo que respecta a la forma de identificar / registrar personas, el tiempo de archivo (solo 7 años) y la autenticación de 1 factor para la firma en contraste con una autenticación de 2 factores (por lo tanto, un móvil robado el teléfono inteligente podría usarse para una firma)
  4. QES: la verificación de una firma válida se puede realizar directamente a través de https://validator.ch o https://www.signatur.rtr.at/de/vd/Pruefung.html Las partes no tienen que acudir a los tribunales en caso de duda. Solo si alguien duda en general del servicio de confianza auditado y esto será una prueba contundente…. Las pruebas y registros de la firma QES se almacenarán durante el tiempo previsto para todos los documentos comerciales y fiscales en el registro comercial: más de 10 años en Suiza y 35 años en la UE.

Debido a las regulaciones de GDPR y al hecho de que las subsidiarias no forman parte automáticamente de ningún acuerdo de procesamiento de datos, debemos firmar con cada subsidiaria un contrato adicional de Agencia de RA.

Recomendamos el uso del estándar PAdES LTA (ver ETSI TS 103 172) para fines de validación a largo plazo. Encuentre más sugerencias aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . Los archivos PDF deben cumplir con el estándar PDF / A.

En el caso de una firma remota, Swisscom administra sus claves para los certificados de firma en fideicomiso. Con una firma personal, los certificados de firma solo se generan para la firma y pierden su validez después de aprox. 10 minutos. De este modo evitamos la notificación de un compromiso del certificado por parte del firmante, es decir, un certificado no puede verse comprometido. El procedimiento tiene varias ventajas:

El usuario final no necesita ponerse en contacto con Swisscom (por ejemplo, una cuenta de usuario para revocar certificados).

Los destinatarios de los documentos firmados no tienen que lidiar con listas de revocación y OCSP (verificación de validez de certificados en línea).

Se evitan los problemas de seguridad con aplicaciones que solo dependen de las actualizaciones periódicas de la lista de revocación.

Las consultas OCSP provocan retrasos en el tiempo del destinatario.

Además, un certificado a corto plazo siempre proporciona una respuesta positiva: una consulta OCSP solo puede proporcionar una respuesta negativa.

 

Importante, la firma que se realizó con el QES, por supuesto, sigue siendo válida, independientemente del certificado.

 

Los certificados a corto plazo se emiten en base a los registros del servicio de registro, es decir, se basan en una autenticación fuerte. Un certificado a corto plazo solo se genera si hay autenticación (liberación) en el procedimiento 2FA.

Ejemplo de analogía en el entorno del papel: firmo un contrato con un bolígrafo de tinta. La tinta del bolígrafo está vacía después de la firma. El contrato sigue siendo válido, por supuesto.

 

Al firmar con un QES, se aplican los siguientes períodos de archivo de pruebas:

Los períodos de conservación de las pruebas de identificación y el diario de actividades de las firmas de la UE en Austria (donde estamos acreditados) son de 35 años y de 10 años en Suiza.

Debido al estándar PAdES B LTA, las firmas también se pueden validar mucho tiempo después de su vencimiento sobre la base de certificados a corto plazo.

Los algoritmos de hash (formación de suma de comprobación) y cifrado del hash siguen las recomendaciones del estándar ETSI ETSI TS 119 312, que a su vez también sigue los estándares NIS. Estos algoritmos tienen ciertos supuestos sobre períodos de 1 a 6 años en los que son estables. Sin embargo, los desarrollos (por ejemplo, el descifrado de algoritmos) también pueden conducir rápidamente a cambios aquí. Swisscom Trust Services, por ejemplo, ahora está cambiando su CA raíz nuevamente para cumplir con los requisitos> 6 años. Se espera una nueva edición de la especificación nuevamente este otoño.

Por lo tanto, para la validación a largo plazo, es necesario garantizar periódicamente la integridad sobre la base de los algoritmos más recientes, por ejemplo, el sello de tiempo anual de todos los documentos o el uso de soluciones de archivo adecuadas. Palabra clave “preservación del valor probatorio” – ver DIN 31647: 2015-05.

M | Aplicación Mobile ID y Mobile ID

Puede encontrar preguntas frecuentes detalladas en el sitio web Mobile ID para solucionar problemas.

N |

Preguntas principales

Esta funcionalidad está desactivada. Acepte las cookies funcionales para utilizar nuestro servicio.

Signaturprobleme selbst beheben

Esta funcionalidad está desactivada. Acepte las cookies funcionales para utilizar nuestro servicio.

Generación de certificados con OpenSSL

Esta funcionalidad está desactivada. Acepte las cookies funcionales para utilizar nuestro servicio.

¿Qué es una identidad reclamada?

No encontraste tu respuesta, ponte en contacto con nuestro soporte

Formulario de soporte


Nos gustaría ofrecerle el contenido de ayuda más reciente en su propio idioma lo antes posible. Esta página se ha traducido automáticamente y puede contener errores gramaticales o inexactitudes. Puede visitar la página donde tomamos el contenido original de aquí para evitar posibles malentendidos.

Zoom