Regulación y cumplimiento

Sí, se hace una distinción entre si los signatarios han aceptado las condiciones de uso de Suiza o la UE o ambos. Swisscom (Schweiz) AG también procesa todos los datos para Swisscom IT Services Finance SE en Viena.

Suiza no pertenece a la UE y, por lo tanto, no ha introducido una legislación de la UE, el llamado Reglamento general de protección de datos (GDPR). En realidad, el RGPD también es aplicable si las empresas tienen su sede en Suiza y ofrecen servicios en la UE.

Por lo tanto, Swisscom está sujeta a las mismas obligaciones de manejo de datos que todas las demás organizaciones que deben cumplir con el GDPR:

• obtener el consentimiento de la persona cuyos datos se tratan
• Garantía de "Privacidad por diseño" y "Privacidad por defecto"
• nombrar un representante de protección de datos
• crear una lista de actividades de procesamiento
• informar sobre violaciones de la protección de datos a la autoridad supervisora
• realizar una evaluación de impacto en la privacidad

Todas las aplicaciones relacionadas con la protección de datos y que se utilizan para el procesamiento de datos, por ejemplo, también la RA-App deben ser compatibles con GDPR. Swisscom proporciona información sobre esto en sus páginas:

Suiza: www.swisscom.com/signing-service

Austria: www.swisscom.at

con las correspondientes declaraciones de protección de datos según GDPR.

Suiza siempre ha sido y se considera un tercer país seguro de conformidad con el art. 45 GDPR (transferencia de datos basada en una decisión de adecuación), es decir, las autorizaciones habituales como con otros terceros países (por ejemplo, los EE. UU.) No son necesarias. Gracias a su Ley de Protección de Datos y la continua adaptación al RGPD, Suiza tiene un "nivel adecuado de protección para la transferencia de datos personales" de acuerdo con los criterios de la UE, es decir, debe ser tratado como un país de la UE cuando se transfieren datos:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Como parte de sus auditorías en curso, Swisscom debe asegurarse de que se cumplan todos los requisitos estrictos de protección de datos necesarios para la emisión de firmas digitales, tanto frente a la autoridad de certificación en Suiza como frente al organismo de evaluación de la conformidad en Austria. Esto significa que, además de la autodeclaración, los proveedores de servicios de confianza y los servicios de certificación están obligados por la legislación y los estándares internacionales aplicados, como ETSI 319401, a demostrar y haber auditado la protección de datos adecuada para todos los datos personales.

Los requisitos de protección de datos que deben demostrarse y auditarse también se aplican a las actividades de la autoridad de registro, una tarea de un proveedor de servicios de confianza y un proveedor de servicios de certificación. Por lo tanto, la aplicación RA como parte del proceso de registro debe garantizar la protección y la privacidad de los datos. La RA-App en sí no almacena ningún dato personal de forma permanente. Tampoco se pueden exportar datos. Tan pronto como se haya completado la identificación, los datos se transfieren firmados por el agente de RA como las llamadas pruebas. Esta evidencia se almacena en el servicio RA de Swisscom bajo estrictas condiciones de seguridad (por ejemplo, acceso de 4 ojos). Solo unas pocas personas tienen acceso a estos datos y solo pueden transmitirlos en base a una orden judicial o se les permite verificar la calidad de la identificación. Según la ley, Swisscom tiene una responsabilidad ilimitada por la correcta ejecución de la firma y, por lo tanto, también la identificación.

Los Agentes RA Master tienen acceso web a un portal en el que pueden ver a todas las personas identificadas por RA Agents con su apellido, nombre, fecha de caducidad del documento de identidad y número de teléfono móvil. Los documentos de identidad y las fotos (las llamadas "pruebas") no son accesibles ni exportables.

Swisscom está legalmente obligado a registrar datos personales para la firma. Por tanto, es responsable de estos datos. Esto significa que Swisscom no puede desempeñar el papel de procesador de datos, incluso si recibe, por ejemplo, datos de empleados de una empresa cliente para la firma. Swisscom tiene un mandato legal como el de los proveedores de servicios postales o de telecomunicaciones. Además, Swisscom tiene una relación contractual legal con los signatarios con los términos de uso. En este acuerdo, el firmante también acepta el uso de datos.

Con la aplicación RA, Swisscom transfiere el registro de los datos de identidad a un proveedor de servicios externo, al que se hace referencia en los contratos como la "agencia RA". El GDPR requiere en este caso un contrato de procesamiento de pedidos. Por lo tanto, la agencia RA debe cumplir con las obligaciones para el procesamiento de datos de pedidos.

El cumplimiento del procesamiento de datos de pedidos GDPR también se requiere en proyectos puramente suizos. Hay dos razones para esto:

• Por un lado, rara vez se puede garantizar que las personas identificadas en Suiza no sean ciudadanos de la UE sujetos al principio de mercado del RGPD.
• Por otro lado, la aplicación RA no se puede utilizar de tal manera que solo se identifiquen las personas de Suiza, es decir, el procesamiento de datos de pedidos siempre se lleva a cabo para Swisscom IT Services Finance SE en Viena también.

Hay proyectos en los que Swisscom se basa en procedimientos de identificación legalmente reconocidos y auditados con terceros. Un ejemplo típico es un banco que realiza una identificación de presencia de una persona como parte de su proceso KYC. En este caso, Swisscom recibe una copia de los datos del banco para sus propios fines comerciales (firma). El procesamiento de datos de pedidos no es necesario aquí, ya que hay dos partes responsables de los datos. Por el contrario, el principio de control conjunto del GDPR tampoco se aplica aquí, ya que la capacidad de respuesta de los datos no tiene el mismo propósito comercial y ambas partes no actúan de manera responsable en el sentido de un propósito comercial común. El banco actúa para su propósito comercial, por ejemplo, abrir una cuenta, y Swisscom persigue su propósito comercial de emitir firmas. No obstante, en este caso nuestros contratos sobre la “delegación de actividad registral” también contienen un mínimo de disposiciones sobre cómo proceder con respecto a la protección de datos y el RGPD.

En el caso de una firma remota, Swisscom conserva y gestiona las claves de los certificados de firma en fideicomiso. En el caso de una firma personal, los certificados de firma solo se generan para la firma y pierden su validez después de aprox. 10 minutos. Los certificados de empresa para sellos tienen una validez de hasta 3 años. De acuerdo con la ley, la clave privada debe almacenarse en un dispositivo de creación de firmas (calificado). La memoria para esto es un dispositivo que está diseñado principalmente para el almacenamiento de claves, el HSM (Módulo de seguridad de hardware). Está sujeto a una estricta regulación, auditoría, en cuanto a estándares de seguridad y acceso a este dispositivo. Las firmas en la UE y Suiza están sujetas a estándares de seguridad particularmente altos, que solo están disponibles en unos pocos fabricantes de HSM en todo el mundo.

Swisscom Trust Services es un servicio de plataforma pura que proporciona los servicios de firma legalmente requeridos como firma remota a una gran cantidad de clientes en Europa de una manera altamente estandarizada y regulada utilizando flujos de trabajo estándar para el procesamiento. El contrato tipo previsto a tal efecto ha sido presentado a las autoridades de control y/o auditado en consecuencia. Por lo tanto, Swisscom Trust Services no proporciona ningún servicio específico del proyecto en el ámbito de la firma o el registro ni los gastos de los procedimientos contractuales que se desvían del flujo de trabajo contractual estándar, con la excepción de los servicios de consultoría encargados por separado por adelantado.
Por lo tanto, podemos ofrecer a todos los clientes y socios los mismos precios favorables según el servicio y la lista de precios. apreciamos su comprensión.

Esto también se aplica a este respecto y en particular (pero no exclusivamente):

• Conclusión de todos los acuerdos y contratos adicionales, por ejemplo, Código de Conducta, acuerdos para la inclusión en el directorio de proveedores, políticas de adquisiciones, directivas anticorrupción, GTC específicos de proyectos o clientes, declaraciones de protección de datos, procesamiento de protección de datos, etc., como estos también podría socavar los contratos estandarizados y regulados.
• Cambios en los contratos, en particular también la ley aplicable, desviando los deseos de seguros.
• Desviaciones de los procesos del contrato, por ejemplo, uso de plataformas adicionales para el registro de proveedores/firma de contratos.
• Acuerdos especiales sobre la inspección de arquitectura o divulgación de detalles de implementación (por ejemplo, procedimientos de respaldo, programación y detalles de seguridad como protección de acceso, accesos, procedimientos criptográficos, recuperación de desastres, etc.). Swisscom publica toda la información sobre la práctica de prestación de servicios en su CP/CPS (https://trustservices.swisscom.com/repository ) y el documento básico para la CP/CPS. Por razones de seguridad, no se divulgan más detalles a ningún cliente, por lo que no se puede acumular conocimiento para diseñar ataques dirigidos si es necesario.
• Solicitudes de conexión a monitoreo interno, Swisscom publica fallas en su servicio a través del sitio web https://trustservices.swisscom.com/status-service , al que también se puede suscribir en el marco del protocolo RSS. Por razones de seguridad, no se permite ninguna otra intervención en el sistema con fines de control.

La certificación y trust services deben describir sus prácticas y procedimientos sobre cómo realizan un servicio en un documento denominado “CP/CPS” (Política de certificación/Declaración de prácticas de certificación). Los servicios son auditados no solo al comienzo de la actividad, sino regularmente por auditores reconocidos por el estado y el organismo de reconocimiento (Suiza) o el organismo de supervisión (UE) del estado deciden sobre la base de las auditorías sobre la aprobación, operación continua o expansión de los servicios de certificación y trust services y así asegurar el alto estándar de calidad en el mercado para todos los signatarios. Además de los requisitos legales generales, se deben cumplir numerosas normas de los organismos de normalización europeos ETSI y CEN.
El estado publica el cumplimiento de las normas y estándares de auditoría y, por lo tanto, también la aprobación como una certificación reconocida o un servicio de confianza en sus sitios web:

• Suiza
• UE (lista de confianza)

Ambos deben ser personas de TI que estén familiarizadas con la aplicación. No es necesario que sea una persona con el rol oficial de “Delegado de Privacidad”. Swisscom simplemente quiere mantener el principio de los 4 ojos aquí. Los roles son: Poder proporcionar información sobre la administración de la aplicación del usuario (quién tiene acceso, qué podría manipular un administrador, dónde podría haber un problema, conexión SSL a Swisscom) y sobre temas como protección antivirus, control de acceso. en general, etc. al responsable de seguridad.

Por un lado, una empresa interna puede convertirse en socio revendedor de Swisscom para otras empresas en caso de que se planee un gran volumen. En este caso, el flujo de pago pasa directamente solo a través de esta empresa individual. Una empresa también puede asumir la responsabilidad total del funcionamiento de la aplicación del suscriptor. Incluso entonces, las facturas solo pasarán por esta empresa. A continuación, puede identificar a los empleados de las otras empresas.

Si todas las empresas quieren operar la aplicación de suscriptor de forma independiente (con su propia responsabilidad y responsabilidad) y también quieren proporcionar agentes de RA ellos mismos, se requiere un contrato por separado para cada empresa.

Cada año, Swisscom invierte grandes sumas de dinero en auditorías en curso. Sin embargo, para poder colocar en el mercado la oferta de un prestador de servicios de confianza a un precio razonable, este servicio se ofrece de forma estandarizada. Eso significa en particular:

• El cliente debe adherirse al proceso de pedido estándar con los documentos de contrato estándar publicados por los auditores.
• La oferta no incluye evaluaciones adicionales por parte de los participantes ni el examen y aceptación de los textos de los propios contratos.

Muchos aspectos del proveedor de servicios de confianza están sujetos no solo a las condiciones en la ejecución del servicio, sino también a la especificación de obligaciones importantes, regulaciones de responsabilidad y servicios de cooperación en los documentos del contrato. Por lo tanto, estos documentos contractuales también están sujetos a auditoría o también se envían a los organismos estatales de evaluación de la conformidad. Por lo tanto, no se pueden aceptar cambios en el sistema legal, ni se pueden aceptar los anexos contractuales del participante, especialmente si están sujetos a la ley extranjera aplicable.

No obstante, si es necesario adaptar los textos contractuales, añadir normativas contractuales (p. Ej., Su propio Código de conducta, Declaración de protección de datos, NDA, etc.), procesar cuestionarios de evaluación especiales o si incluso ha descubierto errores o formulaciones poco claras, infórmelo a nuestra gestión de productos.

Si hay errores o ambigüedades evidentes, la gestión de productos inicia el proceso de cambio correspondiente y se implementa lo más rápido posible.

Para la evaluación de otras preguntas, se forma un equipo de procesamiento que recurre a los expertos relevantes (por ejemplo, departamento legal, oficial de seguridad, oficial de cumplimiento, etc.) y lleva a cabo una evaluación de la solicitud. A tal efecto, se debe abonar una tasa específica del proyecto de 6.000 francos suizos. Si el equipo de expertos no pudo encontrar una solución directamente, preparará una respuesta y una oferta, que presentará y evaluará los pasos adicionales por parte de Swisscom.

No, solo para el funcionamiento de la aplicación de firma no se requiere certificación ni auditoría. Dentro del alcance de una "declaración de configuración y aceptación", el cliente realiza una autodeclaración para operar correctamente la aplicación de firma, es decir, no intercambiar el hash de un documento y mostrar realmente el documento a firmar al cliente (WYSIWYS = “Lo que ves es lo que firmas”). El tráfico de datos entre la aplicación de firma y Swisscom debe estar encriptado y debe garantizarse la protección básica contra virus y ataques como con cualquier otro sistema. Una auditoría oficial con certificación solo puede ser necesaria si el sistema tiene su propia identificación, especialmente en relación con su propio método de autenticación. En Suiza, la identificación con los métodos de autenticación de Swisscom puede tratarse de una manera simplificada mediante un “concepto de implementación” adecuado presentado por el cliente y aprobado por Swisscom; en la UE, generalmente es necesaria una auditoría oficial. Como regla general, un método de autenticación siempre debe estar certificado, ya que esto debería garantizar el "control exclusivo" del certificado de firma (denominado "control exclusivo" en el contexto del ETSI).

En principio, la empresa debe designar representantes. Estos representantes deben ser los representantes registrados de acuerdo con el registro comercial o empresarial, o empleados con poderes apropiados firmados por los representantes registrados. En cualquier caso, las personas deben estar identificadas personalmente con nuestra RA-App. En Suiza, solo las empresas registradas en el Registro UID pueden solicitar sellos. Con el sello, el certificado de acceso SSL entre la aplicación de firma en el cliente y Swisscom sirve como autenticación de la empresa. Por tanto, el certificado de acceso debe ser entregado por el representante de la organización. Con el sello avanzado, la entrega simple es suficiente; con el sello calificado, se lleva a cabo una ceremonia de entrega conjunta en la que se genera conjuntamente el certificado de acceso. La clave privada debe almacenarse en un dispositivo criptográfico (FIPS 140-2 nivel 2 como mínimo).

En principio, Swisscom tiene una responsabilidad ilimitada conforme a la ley por la emisión incorrecta de certificados calificados. En el caso de certificados avanzados, esta responsabilidad puede ser limitada. Swisscom también está asegurado obligatoriamente para este propósito. En caso de errores en la aplicación de la firma (por ejemplo, el intercambio de un hash de un documento) o errores en la identificación por parte de registros de terceros, Swisscom a su vez responsabilizará a estos terceros. Para evitar los riesgos de responsabilidad, se imponen altas exigencias al proceso de emisión y contratación y generalmente se requiere la posibilidad de auditar a los terceros involucrados.

La legislación suiza, es decir, la Ley federal suiza de firma electrónica (ZertES/SCSE), establece los requisitos que las organizaciones deben cumplir para ser reconocidas como un servicio de certificación. El organismo de acreditación acreditado para la acreditación de Swisscom como servicio de certificación en Suiza es KPMG (Accreditation No. SCESm 0071). Emite un certificado de evaluación de la conformidad (disponible en www.swisscom.com/signing-service). El Servicio Suizo de Acreditación SAS mantiene una lista de servicios de certificación acreditados: Enlace

Con la entrada en vigor del Reglamento sobre Identificación Electrónica y _Servicios_de_confianza_ para las transacciones electrónicas en el mercado interior de la Unión Europea (eIDAS), se han sentado las bases para la comunicación electrónica legalmente válida y la identificación electrónica segura en toda Europa. Con la ayuda de _servicios_de_confianza_ como firmas electrónicas, sellos, sellos de tiempo, servicios de entrega y certificados de autenticación, empresas, administraciones y particulares pueden intercambiar documentos digitales como ofertas, pedidos, contratos, etc.dentro de la Unión Europea sobre una base legal uniforme . Por lo tanto, el nuevo reglamento de la UE reemplaza la ley nacional de firmas y los reglamentos de firma.

En virtud de este Reglamento (CE) n.o 910/2014 / UE (Reglamento eIDAS) , las Listas de confianza nacionales tienen un efecto constitutivo. En otras palabras, un proveedor de servicios de confianza y los _servicios_de_confianza_ que proporciona estarán calificados solo si aparecen en las Listas de confianza. En consecuencia, los usuarios (ciudadanos, empresas o administraciones públicas) se beneficiarán del efecto jurídico asociado a un determinado servicio de confianza cualificado solo si este último figura (como cualificado) en las Listas de Confianza.

La subsidiaria de Swisscom en Austria, "Swisscom IT Services Finance SE", Viena, ha sido incluida en esta lista de confianza con certificados y sellos calificados:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE ha encomendado a Swisscom (Suiza) Ltd la operación del servicio fiduciario y también ha delegado las actividades de autoridad de registro a Swisscom (Suiza) Ltd. Swisscom (Suiza) Ltd., por lo tanto, ofrece el servicio al mercado y también acepta documentos contractuales. en nombre de Swisscom IT Services Finance SE.

Swisscom solo puede confirmar que puede emitir firmas calificadas en ambos sistemas legales de acuerdo con el Reglamento eIDAS de la UE y la Ley ZertES de Suiza. Las firmas suizas calificadas solo se reconocen como calificadas en Suiza y las firmas calificadas eIDAS en la UE.

Si la firma calificada cumple con algún contrato, siempre debe ser verificado por un abogado. Swisscom no puede proporcionar ninguna información legal a este respecto. Esto no solo está relacionado con la firma, sino también con otros puntos que se acuerden en los contratos. Por ejemplo, el requisito de "devolución por correo certificado" puede significar que una firma electrónica no se puede ejecutar en absoluto, ya que una ruta de papel postal es obligatoria.

Tanto en los sistemas legales de la UE como en Suiza, la inversión de la carga de la prueba (y en Alemania también la evidencia prima facie en comparación con la evidencia visual) se aplica en principio a las firmas calificadas. Esto significa que una parte contraria debe probar que la firma calificada no se ejecutó correctamente si es impugnada. Y, por supuesto, Swisscom puede proporcionar verificaciones certificadas por KPMG para demostrar que la firma calificada se ha ejecutado debidamente.

Los períodos de conservación para la verificación de identidad y el diario de actividades y, por lo tanto, también los períodos de prueba son de 11 años en Suiza y de 35 años en la UE. Swisscom generalmente utiliza el estándar de validación a largo plazo de ETSI (LTV).

La validación a largo plazo significa validar una firma de tal manera que siga siendo válida durante mucho tiempo. La validación de LTV solo permite la validación siempre que el certificado raíz de la marca de tiempo no haya expirado. Por lo tanto, es aconsejable volver a sellar la fecha y hora de los documentos antes de su vencimiento si se desea conservar la evidencia a largo plazo, de modo que la integridad y el significado de la evidencia de la firma continúe garantizada.

En principio, los documentos PDF también deben gestionarse en archivos seguros. Puede surgir una situación en 5, 10 o 20 años en la que los algoritmos de firma se “resquebrajen”, es decir, ya no se pueda garantizar la integridad o autenticidad. Por lo tanto, los buenos sistemas de archivo prevén una renuncia regular, por ejemplo, con una marca de tiempo, que siempre utiliza el algoritmo más reciente y, por lo tanto, garantiza la integridad del documento.

La web ofrece diferentes enlaces con procedimientos optimizados para ello, por ejemplo, “Archisig”. La BSI alemana también ha publicado una directriz técnica "Preservación del valor probatorio de los documentos firmados criptográficamente". Es la especificación de los requisitos técnicos de seguridad para la preservación a largo plazo del valor probatorio de los documentos y datos electrónicos firmados criptográficamente junto con los datos administrativos electrónicos asociados (metadatos).

Un middleware definido para estos fines (middleware TR-ESOR) en el sentido de esta guía comprende todos aquellos módulos e interfaces que se utilizan para asegurar y mantener la autenticidad y para probar la integridad de los documentos y datos almacenados.

La experiencia ha demostrado que los períodos de transición pueden durar de 3 meses a 2 años.

No.

Después de la terminación del contrato, los certificados de sello válidos existentes serán revocados.

La forma en que se debe realizar dicho escenario de "cierre" está regulada por la ley: el CP / CPS del servicio de certificación o del servicio de confianza describe los procedimientos exactos. Debe haber un plan de cierre, y la autoridad supervisora notificada u OFCOM generalmente designará un sucesor que podría ofrecer el servicio a los clientes. Este sucesor normalmente también recibirá la Lista de revocación de certificados y, por lo tanto, la lista de validez de los certificados, siempre que Swisscom no los publique. La lista seguirá funcionando durante años, por lo que se podrá seguir verificando la validez de las firmas. La evidencia en los registros para el servicio debe mantenerse de acuerdo con los períodos de retención incluso después de la terminación de más de 11 o incluso 35 años, Swisscom o un sucesor designado debe establecer un sistema de archivo para esto, para que esta información también se pueda utilizar en negociaciones legales. . Las identificaciones proporcionadas ya no se pueden utilizar con un posible sucesor, es decir, en este caso son necesarios nuevos registros.

Las firmas electrónicas pueden presentarse como prueba en un litigio. Por regla general, a excepción de la firma calificada, están sujetos a la evaluación gratuita de pruebas. Dado que las firmas electrónicas “simples” y “avanzadas” apenas se definen o solo de manera aproximada por ley, es responsabilidad del tribunal aceptar o no dicha firma. La parte que desee presentar estas firmas como válidas deberá aportar las pruebas pertinentes. En el caso de Swisscom, es útil que las firmas avanzadas también estén sujetas a una auditoría muy estricta de acuerdo con el estándar ETSI para firmas “NCP +” y, por lo tanto, se pueden utilizar dichos informes de auditoría. En el caso de firma calificada, se aplicará la revocación de pruebas. Dado que la firma calificada está determinada con precisión por la ley y, por ejemplo, tanto Suiza como Austria ofrecen validadores para la validez de dichas firmas en la web, estas firmas se consideran válidas hasta que una de las partes demuestre lo contrario y, por lo tanto, también pruebe que la autoridad supervisora o la OFCOM así como los auditores no han cumplido con sus obligaciones. Después de 11 años en Suiza o 35 años en Austria, la prueba también puede causar dificultades en el campo calificado, ya que los documentos de registro deben destruirse. Sin embargo, la firma sigue siendo visible como "calificada".

En el contexto de una prueba después de muchos años, también debe tenerse en cuenta que los documentos archivados electrónicamente deben tener el sello de tiempo repetidamente de vez en cuando. Puede suceder que los algoritmos ya no sean tan robustos. Una marca de tiempo sella el documento con los últimos algoritmos, protegiendo la integridad del documento, incluidas las firmas.

Las firmas eIDAS calificadas solo se consideran "calificadas" en el área de la UE (y el EEE), y las firmas ZertES / SigE también se consideran calificadas solo en la jurisdicción suiza. Esto significa que cuando un tercer estado elige la ley, estas firmas ya no pueden lograr su efecto “calificado” o, si es necesario, llegar a serlo. ni siquiera reconocido.

Suiza (QES), ZertES:

El CP / CPS establece que la identificación y la documentación almacenada se pueden utilizar por un máximo de 5 años, más corto si el período de validez del DNI / pasaporte presentado finaliza antes del período de cinco años o si el procedimiento de identificación por parte de el auditor no concede 5 años.

Se aplica el período de retención de acuerdo con el artículo 11.1 de la Ordenanza de SigE / ZertES (diario de actividades): "Los proveedores reconocidos conservarán los registros relacionados con sus actividades y los documentos de respaldo relacionados con ellos durante once años". Swisscom también entiende este período como un período de retención para los documentos presentados en el proceso de identificación, en particular una copia de la identificación.

Se agregó una reserva de 1 año como “colchón de seguridad” para evitar que las agencias de RA de Swisscom puedan calcular los 11 años de manera diferente, lo que significaría que Swisscom ya no tendría documentación en casos específicos, especialmente en la aplicación del Artículo 17 del SigE / ZertES (responsabilidad ilimitada).

• Como resumen, el tiempo de archivo es de 17 años, que también se describen en las condiciones de uso.

Europa, (QES), eIDAS:

Esta es la misma justificación y derivación que en el caso de QES en Suiza solo con la diferencia de que en Austria el período de retención legal es de 30 años. El artículo 10.1 de la SVG (Ley de Firma y Servicios de Confianza) establece:

Derechos de acceso y período de retención

10. (1) A petición de los tribunales u otras autoridades, un TSP calificado otorgará acceso a la documentación de conformidad con el Artículo 24 (2) lit. h eIDAS-VO y su base de datos de certificados.

(2) […].

(3) La documentación es proporcionada por el TSP calificado durante 30 años, calculados a partir de la fecha de ingreso del certificado calificado al final de la vigencia o, en su defecto, 30 años a partir de la fecha en que se emitió la información relevante sobre los datos y recibido por el VDA calificado en el curso de sus actividades.

• Como resumen, el tiempo de archivo es de 36 años, que también se describen en los Términos de uso de eIDAS.

Firmas avanzadas (eIDAS, ZertES)

El CP / CPS establece que la identificación y la documentación archivada se pueden utilizar durante un máximo de 5 años, más corto si el período de validez de la tarjeta presentada finaliza antes del período de cinco años o si el procedimiento de identificación no permite 5 años.

No existen períodos de retención legales en el área de AES, ya que los períodos de retención no están regulados por ley. Sin embargo, los estándares ETSI prevén un período de 7 años. Esta información se deriva de la Directiva ETSI EN 319 411-01:

6.4.6 Archivo de registros

Se aplican los siguientes requisitos particulares:

NOTA: ETSI TS 101 533-1 [i.13] sugiere disposiciones sobre cómo preservar los objetos de datos digitales.

a) El TSP conservará lo siguiente durante al menos siete años después de que cualquier certificado basado en estos registros deje de ser válido:
i) registro de todos los eventos relacionados con el ciclo de vida de las claves administradas por la CA, incluidos los pares de claves del sujeto

generado por la CA (véase la cláusula 6.4.5, elemento g));

ii) documentación tal como se identifica en la cláusula 6.3.4.

Se agregó una reserva de 1 año como “colchón de seguridad” para evitar que las agencias de RA de Swisscom pudieran calcular los 11 años de manera diferente.

• Como resumen, el tiempo de archivo es de 13 años, que también se describen en los Términos de uso de eIDAS.

En el caso de los certificados personales, Swisscom solo emite certificados a corto plazo (los denominados certificados “one-shot”) que tienen una duración de 10 minutos y solo se utilizan para una solicitud de firma. La probabilidad de que el certificado se haya visto comprometido durante estos 10 minutos es prácticamente inexistente. Después de eso, el certificado no es válido y no se puede comprometer. Gracias a la validación a largo plazo, las firmas con este certificado siguen siendo válidas y también se pueden validar por períodos de tiempo después de su vencimiento.

Si toda la CA (es decir, el certificado raíz) de la certificación y el servicio de confianza se ha visto comprometida, existe un proceso que Swisscom describe en su CP / CPS (consulte Área de descargas – Repository).

Si un firmante pierde su medio de autenticación o descubre que su identidad se ha determinado incorrectamente, nuestro equipo de soporte debe ser informado de inmediato. En una relación contractual con uno de nuestros socios, comuníquese con el socio con el que ha proporcionado su firma o identificación. Luego, tomará más medidas para bloquear esta identificación. Si un certificado de sello se ha visto comprometido, utilice los datos de contacto proporcionados en https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

1. Contrato cerrado oralmente: Muy difícil de probar (solo con el testimonio de otras personas)
2. Firmado con una firma simple, por ejemplo, una imagen de firma escaneada: el mismo problema. El proceso de generación de esta firma debe ser analizado en el juzgado y debido a la debilidad del procedimiento el testigo de otras personas u otras insinuaciones jugará una regla mayor para acreditar el poder.
3. AES: para la verificación de una firma válida, las partes deben acudir nuevamente a los tribunales. El tribunal pedirá a un especialista que investigue la firma electrónica avanzada de Swisscom. Debido a las auditorías realizadas por Swisscom, el especialista puede beneficiarse de ellas. Sin embargo, el AES es más débil que el QES, por ejemplo, en lo que respecta a la forma de identificar / registrar personas, el tiempo de archivo (solo 7 años) y la autenticación de 1 factor para la firma en contraste con una autenticación de 2 factores (por lo tanto, un móvil robado el teléfono inteligente podría usarse para una firma)
4. QES: la verificación de una firma válida se puede realizar directamente a través de https://validator.ch o https://www.signatur.rtr.at/de/vd/Pruefung.html Las partes no tienen que acudir a los tribunales en caso de duda. Solo si alguien duda en general del servicio de confianza auditado y esto será una prueba contundente…. Las pruebas y registros de la firma QES se almacenarán durante el tiempo previsto para todos los documentos comerciales y fiscales en el registro comercial: más de 10 años en Suiza y 35 años en la UE.

Debido a las regulaciones de GDPR y al hecho de que las subsidiarias no forman parte automáticamente de ningún acuerdo de procesamiento de datos, debemos firmar con cada subsidiaria un contrato adicional de Agencia de RA.

Recomendamos el uso del estándar PAdES LTA (ver ETSI TS 103 172) para fines de validación a largo plazo. Encuentre más sugerencias aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . Los archivos PDF deben cumplir con el estándar PDF / A.

En el caso de una firma remota, Swisscom administra sus claves para los certificados de firma en fideicomiso. Con una firma personal, los certificados de firma solo se generan para la firma y pierden su validez después de aprox. 10 minutos. De este modo evitamos la notificación de un compromiso del certificado por parte del firmante, es decir, un certificado no puede verse comprometido. El procedimiento tiene varias ventajas:

El usuario final no necesita ponerse en contacto con Swisscom (por ejemplo, una cuenta de usuario para revocar certificados).

Los destinatarios de los documentos firmados no tienen que lidiar con listas de revocación y OCSP (verificación de validez de certificados en línea).

Se evitan los problemas de seguridad con aplicaciones que solo dependen de las actualizaciones periódicas de la lista de revocación.

Las consultas OCSP provocan retrasos en el tiempo del destinatario.

Además, un certificado a corto plazo siempre proporciona una respuesta positiva: una consulta OCSP solo puede proporcionar una respuesta negativa.

Importante, la firma que se realizó con el QES, por supuesto, sigue siendo válida, independientemente del certificado.

Los certificados a corto plazo se emiten en base a los registros del servicio de registro, es decir, se basan en una autenticación fuerte. Un certificado a corto plazo solo se genera si hay autenticación (liberación) en el procedimiento 2FA.

Ejemplo de analogía en el entorno del papel: firmo un contrato con un bolígrafo de tinta. La tinta del bolígrafo está vacía después de la firma. El contrato sigue siendo válido, por supuesto.

Al firmar con un QES, se aplican los siguientes períodos de archivo de pruebas:

Los períodos de conservación de las pruebas de identificación y el diario de actividades de las firmas de la UE en Austria (donde estamos acreditados) son de 35 años y de 10 años en Suiza.

Debido al estándar PAdES B LTA, las firmas también se pueden validar mucho tiempo después de su vencimiento sobre la base de certificados a corto plazo.

Los algoritmos de hash (formación de suma de comprobación) y cifrado del hash siguen las recomendaciones del estándar ETSI ETSI TS 119 312, que a su vez también sigue los estándares NIS. Estos algoritmos tienen ciertos supuestos sobre períodos de 1 a 6 años en los que son estables. Sin embargo, los desarrollos (por ejemplo, el descifrado de algoritmos) también pueden conducir rápidamente a cambios aquí. Swisscom Trust Services, por ejemplo, ahora está cambiando su CA raíz nuevamente para cumplir con los requisitos> 6 años. Se espera una nueva edición de la especificación nuevamente este otoño.

Por lo tanto, para la validación a largo plazo, es necesario garantizar periódicamente la integridad sobre la base de los algoritmos más recientes, por ejemplo, el sello de tiempo anual de todos los documentos o el uso de soluciones de archivo adecuadas. Palabra clave “preservación del valor probatorio” – ver DIN 31647: 2015-05.

De acuerdo con el reglamento eIDAS, los TSP deben estar acreditados a nivel nacional y seguir las leyes, normas y reglamentos nacionales establecidos por el Organismo de Supervisión nacional en la medida en que ningún otro reglamento a nivel de la UE haya establecido algunas reglas, como las decisiones de implementación de la comisión de la UE. , por ejemplo, para los estándares ADES o los niveles de seguridad del eID o algunas reglas del propio reglamento eIDAS. Por esto, cada país tiene diferentes estándares nacionales para sus TSP; por ejemplo, en Alemania, el BSI debe aprobar algunos aspectos, o en Francia, el instituto ANSII. En algunos países, por ejemplo, la identificación por video está totalmente permitida. En otros prohibido, y en terceros países, sólo permitido con certificados de corta duración.

Pero el reglamento de la UE eIDAS prevé que todas las firmas electrónicas calificadas de cualquier TSP acreditado a nivel nacional en cualquier país de la UE deben ser aceptadas por todos los miembros de la UE. Por lo tanto, un TSP acreditado en Francia puede vender su QES según las normas y reglamentos franceses en Alemania, y un TSP austriaco, como Swisscom, solo tiene que seguir las normas y reglamentos austriacos y puede vender sus firmas cualificadas en otros países de la UE. . La lista de confianza de la UE es el ancla estándar y confirma que se debe aceptar una firma calificada emitida por uno de los TSP enumerados allí.

Con la versión 2 de las regulaciones eIDAS, los países de la UE intentarán armonizar cada vez más las partes de la acreditación, por ejemplo, la forma de registrarse para un servicio, e incluso quieren crear una billetera electrónica de la UE como base para futuros identificación para cualquier servicio de confianza.