Preguntas más frecuentes

¿Qué significa el mensaje de error “No coincide el número de serie. Recomendamos encarecidamente pasar por el proceso de firma previa para recuperar el número de serie StepUp real ” . Este mensaje de error indica que en un proceso de PWD / OTP, la contraseña se restableció y se volvió a seleccionar sin realizar una nueva identificación con el proceso de aumento correspondiente de acuerdo con la Guía de referencia.

Me autentiqué correctamente con la aplicación PWD / OTP, Mobile ID o Mobile ID, pero la firma no funcionó … ¿cuál podría ser la razón?

Las causas son:

• Ha establecido una nueva contraseña para el procedimiento PWD / OTP. Esto solo puede llevarse a cabo en situaciones excepcionales en una autoridad de registro interno y, de lo contrario, siempre debe tener lugar como parte de una nueva identificación.
• Anteriormente se había autenticado con PWD / OTP y ahora ha activado su MobileID con un número de teléfono móvil suizo o internacionalmente mediante el uso de una aplicación Mobile ID. En este caso, también debe producirse una nueva identificación porque ha cambiado el medio de autenticación de la identidad.
• Ha cambiado la SIM o el proveedor de telefonía móvil. Como resultado, la autenticación de MobileID ha cambiado cuando se usa un MobileID. También es necesaria una nueva identificación para esto.
• Si ninguna de estas causas está presente, debe abrir un ticket.

A menudo, los mensajes se refieren a la falta de integridad, es decir, el documento muestra cambios después de firmar el documento. Por ejemplo, los elementos de la red se descargaron e insertaron posteriormente. Esto se puede evitar si se utiliza constantemente la última versión de PADES estándar PDF / A para la firma. Para crear documentos PADES correctos, siga este enlace aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Cabe señalar que los validadores de la UE están lejos de estar armonizados. Esto significa que los portales de prueba pueden presentar una firma electrónica calificada como "inválida", aunque cumpla con los requisitos para la datación eIDAS. La UE está trabajando en la armonización.

“La firma es válida pero no se pudo verificar la validez de la identidad del firmante” es la declaración de Adobe si no se utilizó el formato LTV. El trasfondo es que Adobe luego intenta verificar la validez de un certificado de 10 minutos. Si no se utilizó un formato de validación a largo plazo, que almacena la información de validez en el momento de la firma, ya no se podrá acceder a estos después de un tiempo. Por lo tanto, las firmas con certificados a corto plazo (pero también las firmas con prueba a largo plazo) deben guardarse siempre en formato LTV. Puede encontrar más sugerencias aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Este mensaje se activa en dos casos:

a) En caso de que acabe de ser identificado con la aplicación Swisscom RA y se haya realizado un cambio antes con su método de autenticación (cambio de tarjeta / contrato SIM, restablecimiento de Mobile ID, cambio de contraseña para la firma, cambio de PWD / OTP a Mobile ID )

En este caso, todo está bien y puede continuar inscribiéndose como de costumbre hasta el nivel calificado.

b) En caso de que haya nuevos Términos y condiciones disponibles que deban aceptarse y se haya realizado un cambio con su método de autenticación desde la última firma exitosa (cambio de tarjeta / contrato SIM, restablecimiento de Mobile ID, se cambió la contraseña para la firma, cambio de PWD / OTP a Mobile ID)

En este caso, debe volver a identificarse para poder realizar firmas calificadas.

La llamada de verificación que comprueba si una persona es conocida por el Servicio RA devuelve el siguiente código de error:

{

"StatusCode": 404,

"Mensaje": "No se puede verificar la jurisdicción de un usuario desconocido con msisdn XXXXXXXXX",

"ExceptionClass": "EvidenceVerificationException"

}

Esto significa que la persona es desconocida para RA-Service. Es posible que esta persona probablemente esté identificada pero no aceptó el SMS con los Términos de uso. Después de un tiempo (aproximadamente 2 semanas), se eliminarán los datos de la persona.

En esta página de Comprobación de Firma puedes comprobar en cualquier momento si puedes firmar electrónicamente o si necesitas un nuevo registro:

https://check-signature.scapp.swisscom.com/

Si el resultado es positivo, se le mostrará con qué tipo de firma (QES, FES) y en qué ámbito legal (UE, Suiza) puede firmar electrónicamente.

En caso de resultado negativo, se muestra el motivo de un nuevo registro e identificación para la firma electrónica.

Traducido con www.DeepL.com/Translator (versión gratuita)

Para poder firmar electrónicamente, debe estar registrado en un servicio de confianza. Este servicio debe identificarlo de manera única con procedimientos de auditoría especiales en el sitio o de forma remota y brindarle un medio con el que pueda aprobar firmas en el futuro, un "bolígrafo digital" para firmar, por así decirlo. Esto le ahorra tener que identificarse cada vez.

Los medios de aprobación (lenguaje técnico también „medios de autenticación“) pueden ser los siguientes:

• Una app en tu teléfono móvil que se activa automáticamente cada vez que quieras realizar una firma electrónica. Esto le pide, por ejemplo, una huella dactilar en el lector de huellas dactilares de su teléfono móvil ("Fingerprint") o una imagen de su cara ("Face-ID"). Una de estas aplicaciones es, por ejemplo, Mobile ID, que Swisscom le proporciona de forma gratuita. Si no vive en Suiza, primero debe descargar la aplicación Mobile ID de su tienda de aplicaciones e instalarla en su teléfono móvil antes de poder usarla para registrarse. En Suiza, muy a menudo ya hay instalada una aplicación Mobile ID en las tarjetas SIM suizas, que puede que solo necesite activarse a través del sitio web Mobile ID .
• Si no desea instalar una aplicación, la aplicación de firma le pedirá una contraseña y le enviará un SMS con un código único que debe ingresar en un campo de entrada adecuado de la aplicación de firma. La contraseña se establece por primera vez en el proceso de registro. Puede usar este procedimiento directamente para iniciar el proceso de identificación con nuestros socios, ¡pero siempre debe saber bien su contraseña para cada firma!

Por lo tanto, a menudo tiene que lidiar con 2 aplicaciones o dos programas:

• La aplicación o programa de nuestros socios de identificación que lo identifica. No tendrá nada que ver con la aplicación o el programa durante mucho tiempo después. En el caso de una aplicación, también puede desinstalarla de su teléfono móvil nuevamente, ¡siempre que su registro se haya realizado correctamente!
• La combinación de aplicación o contraseña-código de un solo uso que necesitará más adelante para aprobar la firma. Esto se usa por primera vez durante el proceso de identificación para que su identificación esté vinculada a su aprobación personal. ¡Así se asegura que el „bolígrafo digital“ le pertenece!

La ley también estipula que debe aceptar los términos de uso del servicio de confianza. Aprovechamos esta circunstancia y le pediremos que firme estos términos de uso electrónicamente durante el proceso de registro. Esta es la primera vez que usa su medio de aprobación y puede usarlo, por ejemplo, para establecer la contraseña por primera vez o para usar el Mobile ID por primera vez. Los términos de uso serán

• ya sea aceptado durante el registro (por ejemplo, en el procedimiento de Auto-Identificación de la empresa NECT en la UE),
• o tras el registro mediante un mensaje SMS que le enviamos y en el que se incluye un enlace a un sitio web donde se pueden aceptar las condiciones de uso.

Tenga en cuenta que algunos procedimientos tienen que comprobar sus datos manualmente de nuevo en paralelo en segundo plano. Un operador libre debe estar disponible para esto. Por este motivo, es posible que deba esperar 15 minutos o más para algunos procedimientos automáticos.

Los problemas pueden ocurrir en diferentes puntos del proceso de identificación, por lo que un análisis individual puede llevar mucho tiempo y requiere muchos especialistas. Los ejemplos son:

• con nuestro socio que lleva a cabo su identificación,
• en el host de nuestro sitio web, que no inicia correctamente su solicitud de registro,
• al enviar, entregar o recibir SMS por parte de la(s) compañía(s) telefónica(s) respectiva(s),
• al reconocer su documento de identidad, la cámara, el módulo receptor NFC,
• con la aplicación de identificación o el sistema operativo de su dispositivo móvil,
• en la aplicación de liberación,
• en caso de rechazo debido a evaluaciones de riesgo reglamentarias,
• al transmitir y hacer coincidir los datos de registro,
• etc.

Como puede ver, muchos organismos están involucrados en el proceso y encontrar errores individuales puede llevar mucho tiempo y no siempre es posible en términos de tiempo y personal. Desafortunadamente, los procedimientos también son tan complejos desde el punto de vista regulatorio que, por regla general, el 5-10% no siempre puede registrarse completamente de forma remota. Con la identidad electrónica, actualmente todos los países están creando las condiciones para que esto mejore en el futuro.

Tenga en cuenta que los permisos de residencia (CH), las licencias de conducir/licencias de conducir, las copias de las tarjetas de identificación NO se aceptan para la identificación, sino solo las tarjetas de identificación/tarjetas de identificación legibles por máquina de la UE/EEE y Suiza y, de lo contrario, solo los pasaportes legibles por máquina. En el procedimiento de eID para Alemania, solo se acepta la tarjeta de identidad alemana.

Sin embargo, también es posible que las funciones de seguridad o los datos de su tarjeta de identificación no se puedan leer correctamente. Asegúrese de que la iluminación sea buena y vuelva a intentar la identificación (sin cargo) utilizando el enlace del correo electrónico de confirmación (remitente „Soporte Trust Services – GSD-TS“) que le enviamos.

Primero intente acceder al sitio web de Smartflow e ingrese su número de teléfono móvil. Necesitará un código de un solo uso para iniciar sesión, que se le enviará por SMS. Si este SMS tampoco te llega, lamentablemente no podemos ayudarte porque tu número de móvil o tu compañía telefónica no pueden o no quieren recibir nuestros SMS en este momento. Se le reembolsarán los gastos de identificación. No obstante, indíquenos su número de teléfono móvil para que podamos comunicarnos con las compañías telefónicas en consecuencia la próxima vez.

Si ha recibido el SMS, puede aceptar los términos de uso en la página indicada.

Primero intente de nuevo de forma gratuita a través del enlace en el correo electrónico de confirmación (remitente „Soporte Trust Services – GSD-TS“).

Si la identificación no vuelve a funcionar, pide un bono para una videoidentificación sin cargo según el procedimiento de automantenimiento de 3 pasos o consigue la devolución del importe pagado al pagar con tarjeta. Un operador puede guiarlo a través del proceso de identificación por video mejor que un procedimiento automatizado.

¿Ya recibió un SMS con un enlace a los términos de uso de Swisscom Trust Services y ya los aceptó? Si no puede encontrar el SMS, vaya al sitio web de Smartflow e inicie sesión con su número de teléfono móvil e intente aceptar los términos de uso allí. Si esto no es posible, repita todo el proceso de forma gratuita a través del enlace en el correo electrónico de confirmación (remitente „Soporte Trust Services – GSD-TS“).

Si la identificación no funciona una vez más, solicita un bono para una videoidentificación sin cargo según el Autoapoyo en 3 pasos o haz que te devuelvan el monto pagado al pagar con tarjeta. Un operador puede guiarlo a través del proceso de identificación por video mejor que un procedimiento automatizado.

Después de activar una identificación, recibirá un correo electrónico de confirmación de nuestra parte (remitente „Soporte Trust Services – GSD-TS“). Esto también contiene un enlace para repetir la identificación de forma gratuita. Si no encuentra este correo electrónico, verifique la carpeta "SPAM" en su casilla de correo electrónico. Quizás se clasificó erróneamente como „SPAM“. De lo contrario, puede haber habido un problema técnico. Obtenga un nuevo cupón a través del procedimiento de soporte de 3 pasos.

Puede comprobar gratuitamente si está listo para firmar: Comprobar firma (swisscom.com)

Sabemos que especialmente el reembolso, por supuesto, no es muy satisfactorio para usted, porque desea firmar electrónicamente. Muchos socios también ofrecen identificación personal en el trámite presencial en sus oficinas o sucursales. Si es necesario, pregunta a tu pareja sobre esta posibilidad. En Suiza, los ciudadanos también pueden beneficiarse de esto de forma gratuita en las sucursales de Swisscom o en el socio Ylex. Pero aquí, también, debe poder presentar al menos un pasaporte legible por máquina o una tarjeta de identificación de la UE/EEE o Suiza.

En Suiza, Swisscom amplía continuamente las posibilidades para permitir la identificación en las tiendas de Swisscom. Informaremos sobre esto en esta página web principal. En el extranjero, la identificación solo será posible a través de socios que lo ofrezcan. A medio plazo, Swisscom está buscando una conexión con las identidades existentes (por ejemplo, verificación de identidad en línea por parte de un banco o un eID estatal, como el alemán Personalausweis o SwissID).

Durante la identificación, se consulta el medio de autenticación (por ejemplo, específicamente el número de teléfono móvil). Con esto, ya se ejecuta una primera firma (autenticación step-up), típicamente la firma de los términos de uso que se han aceptado. Esta firma se transfiere al All-in Signing Service. Esto significa que All-in Signing System conoce exactamente los medios de autenticación.

Una agencia de RA está asociada a un área de almacenamiento (lo que se denomina “inquilino”) en la que solo se gestionan aquellas personas identificadas por el agente maestro de RA u otros agentes de RA de su agencia. El RA-Master Agent tiene acceso a este inquilino y puede designar a cualquier persona identificada de este inquilino como agente RA.

Si una persona fue identificada por otro método del Smart Registration Service (por ejemplo, identificación por video en la UE), el RA-Master Agent no puede designar a esa persona como un agente RA debido al hecho de que está asociado con otro inquilino (el inquilino SRS). El RA Master Agent debe volver a identificarlo mediante el uso de la RA-App.

La única excepción es el primer RA-Master Agent: es identificado de todos modos por una persona de Swisscom, Swisscom Partner o, por ejemplo, una identificación de video y, por lo tanto, termina en el inquilino "incorrecto" de forma predeterminada. Cuando se configura la agencia, se busca al agente maestro RA nombrado y se lo traslada al nuevo inquilino correcto de la agencia RA. Sin embargo, no son posibles más aplazamientos.

Esta es una respuesta de prueba

Encuentre una tabla con todos los documentos de identidad y pasaportes aceptados:

https://documents.swisscom.com/product/filestore/lib/5bceac6a-48c2-42b5-bddc-3dd3a457c240/countries-ra-app-en.pdf?idxme=pex-search

Esto sucede indirectamente. En la práctica, el procedimiento es el siguiente: La agencia de RA primero nombra un agente maestro de RA. Este agente es identificado por Swisscom o un socio de Swisscom y recibe capacitación. A continuación, recibe una interfaz de usuario con la que puede convertir a otras personas identificadas por él solo en agentes RA o agentes maestros RA. Sin embargo, también deben someterse a una formación e-Learning automatizada solicitada.

En principio, Swisscom debe conservar los datos durante mucho tiempo (11 años en Suiza o 35 años en la UE). Pero las personas pueden ser desactivadas por el agente maestro de RA o por Swisscom para que ya no puedan firmar.

En promedio, una identificación se completa en 2 minutos.

Sostenga la cámara hacia arriba de modo que todo el documento de identidad quede capturado por el recorte (aún borroso si es necesario). Mueva la cámara lentamente más cerca de la placa y comenzará a enfocar de nuevo.

Las agencias de RA actúan en nombre de la oficina de registro de Swisscom. Además de los deberes de la ejecución cuidadosa de las actividades del registro, la protección de datos también es una prioridad. Los principios de protección de datos del art. Se aplican 28 DSGVO, que se reflejan de forma precisa en las medidas técnico-organizativas (TOM) en el contrato de la Agencia de RA. Se basan en 2 secciones del art. 28, que reflejan el uso de la aplicación en el dispositivo móvil:

• La medida debe "garantizar la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios en relación con el procesamiento a largo plazo" y
• Incluir un procedimiento para la revisión, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.
• El responsable del tratamiento y el encargado del tratamiento tomarán medidas para garantizar que las personas físicas bajo su autoridad que tengan acceso a los datos personales los procesen únicamente siguiendo instrucciones del responsable del tratamiento, a menos que estén obligados a hacerlo por la legislación de la Unión o nacional.

Esto significa que además del uso de empleados cuidadosamente seleccionados y capacitados, se debe garantizar la protección de la aplicación en el dispositivo móvil y también la protección del acceso. ¿Están los dispositivos adecuadamente protegidos contra virus? ¿Estará prohibido descargar programas de otras tiendas de aplicaciones que no ofrezcan suficiente protección? ¿Los empleados mantienen en secreto sus PIN y contraseñas? ¿Los dispositivos no están rooteados?

La tarea más importante del agente de RA es el examen estricto de los documentos de identificación que se le presentan y, en particular, la verificación estricta de la información de campo leída por OCR de la tarjeta de identificación / pasaporte, así como el registro correcto del número de teléfono móvil.

De acuerdo con las leyes de protección de datos, no ofrecemos ningún contrato de Agencia de RA con Agencias de RA fuera de las jurisdicciones mencionadas. Los agentes de RA que trabajen en jurisdicciones distintas de EEE / UE / CH no identificarán a personas que sean residentes de EEE / UE / CH.

No se necesitan instrucciones especiales, porque el proceso es exactamente el mismo que para una identificación “en vivo” con la RA App. El modo de demostración se describe en la formación básica para agentes de RA.

Puede acceder al modo de demostración de la RA App iniciando sesión con la siguiente información:

• Número de móvil: +41001234567
• Nombre de la empresa: demostración

Correcto. Si una persona no tiene una identificación o pasaporte legible por máquina, no puede identificarse con la aplicación RA para la firma electrónica y, por lo tanto, no puede usar el signing service.

No. Está prohibido escanear copias de documentos de identidad o pasaportes con la RA App. La razón es que las características de seguridad no se pueden verificar en una copia.

No, esto no está permitido. La RA App ha sido certificada para la identificación cara a cara y, por lo tanto, solo puede usarse en contacto personal.

Como Mobile ID es un método de autenticación personal, el usuario debe activarlo él mismo. El usuario siempre debe activar Mobile ID antes de la identificación con la RA App o Smart Registration Service para que el usuario pueda usar Mobile ID como método de autenticación para la firma. El usuario debe seguir las instrucciones en el elemento de menú de www.mobileid.ch "MI ID MÓVIL". El usuario también puede encontrar preguntas frecuentes detalladas en el sitio web Mobile ID

Notifique a su agente RA-Master y pídale que busque en el portal el número de teléfono móvil. Puede reenviar el SMS con las condiciones de uso haciendo clic en el enlace con el símbolo PDF:

Asegúrese de no haber registrado a la persona en el modo de demostración de la aplicación RA (número de teléfono móvil +41001234567, “demostración” de la empresa).

Consulte la página de estado del servicio ( https://trustservices.swisscom.com/service-status/ ) para ver si hay alguna falla. Si no llega ningún SMS después de otro intento, informe al soporte.

Si ya está registrado (con la aplicación RA o el Smart Registration Service), debe observar lo siguiente:

• Si ha confirmado los términos de uso con PWD / OTP durante la identificación, ha definido este método como un método de declaración de voluntad. Ahora, si habilita la aplicación Mobile ID como método, ya no podrá firmar hasta que haya sido identificado nuevamente.
• Si ya usa el Mobile ID en la tarjeta SIM y desea usar la aplicación Mobile ID, debe usar el código de recuperación al activar o para autenticarse con el Mobile ID SIM en la activación y no para activar como un "nuevo Mobile ID". De lo contrario, esta aplicación también se considerará como un nuevo método de declaración de testamento y deberá volver a identificarse.
• Lo mismo ocurre al revés si desea cambiar de una aplicación Mobile ID instalada a la tarjeta SIM Mobile ID.

El mensaje de error típico en tal caso es un mensaje de error con "desajuste de serie".

El Smart Registration Services intenta 5 veces los 3 días para enviar el SMS nuevamente. Solo si todos los intentos fallan después de 15 días, es necesaria una nueva identificación.

Siempre que no haya aceptado los términos de uso, siempre existe la posibilidad de rechazarlos. Si aceptó los términos de uso y también utilizó nuestro servicio, debemos registrar su registro de uso y los datos de registro durante un período de retención de 35 años en la UE y 11 años en Suiza. Pero fácilmente podría dejar de emitir firmas electrónicas.

Con el método de contraseña/código SMS, lamentablemente no hay posibilidad de recuperación; un usuario debe ser reidentificado en cualquier caso después de haber cambiado su contraseña.

En Suiza, cambiamos Mobile ID al modo de reserva PWD / OTP de forma predeterminada si la tarjeta SIM no está habilitada para Mobile ID. En la sala eIDAS funciona por defecto con la aplicación Mobile ID ( https://play.google.com/store/apps/details?id=com.swisscom.mobileid , https://apps.apple.com/de/app/ mobile-id / id1500393675 ), pero también podemos habilitar PWD / OTP.

La aplicación Mobile ID se basa en la interfaz Mobile ID, que también ofrece autenticación con huella digital o reconocimiento facial. Esta aplicación solo requiere una conexión a Internet durante la autenticación y, por lo tanto, se puede utilizar a nivel internacional. Sin embargo, todavía se requiere una tarjeta SIM internacional (número de teléfono móvil) para la configuración de la aplicación. Consulte https://mobileid.ch .

En general, también son posibles otros métodos de autenticación, pero estos deben ser aprobados por KPMG. Esto requiere la firma de un contrato de soporte de incorporación, que regula el concepto de implementación y la ejecución de la auditoría. Los nuevos métodos deben autorizarse por separado para ZertES y eIDAS.

Lamentablemente no. Tiene un nuevo medio de autenticación que no se registró inicialmente con la identificación. Es decir, debe ser identificado recientemente mediante el MobileID.

No hay garantía, pero debería funcionar en casi todas partes; uno puede tener una visión más cercana a esta descripción general:

https://www.swisscom.ch/en/residencial/plans-rates/inone-mobile/roaming.html

(Ir a “Comprobación de tarifas”, seleccionar un tipo de contrato de modelo de suscripción arbitrario y el país)

Con la aplicación MobileID como medio de autenticación, eres independiente del envío de SMS.

El servicio se ofrece básicamente para residentes en la UE/EEE y Suiza con números de móvil de estos países. Es posible que la recepción en números móviles de otros países no funcione o que varios países la impidan. En el marco de un proyecto, se puede encargar a Swisscom que asegure la recepción en estos países a través de proveedores especiales de SMS.

Una autenticación de 2 factores es necesaria para la firma calificada: “posesión” y “conocimiento”, es decir, solo la posesión (SMS) no es suficiente.

No, OTP es suficiente para firmas avanzadas.

La pérdida de la contraseña conduce a una nueva identidad digital. Los proveedores de la aplicación pueden reaccionar ante esto y, si es necesario, solicitar una nueva identificación del firmante, por ejemplo, con la RA-App.

Dado que ambos métodos requieren un secreto, así como la posesión del número de teléfono, no se puede activar ninguna firma para la identidad digital previamente existente una vez que se ha transferido el número de teléfono. Esto significa que la persona debe ser identificada nuevamente.

Dado que prácticamente no se puede asignar un número de línea fija a una persona, esto no es posible. El SMS está destinado a garantizar que se contacte con algo que sea asignado única y sin excepción a la persona que firma el documento.

Los dispositivos modernos están equipados con llamadas WIFI. También se pueden utilizar para iniciar sesión en una zona WIFI. Sin embargo, sin Internet, las firmas remotas no son posibles.

En el caso de un MobileID, puede usar un código de recuperación para transferir el MobileID a la nueva SIM ( https://www.mobileid.ch/en/login ). En el caso de PWD / OTP y el mismo número de teléfono, su opción de autenticación también permanece.

MobileID siempre se configura en combinación con una solución alternativa de PWD / OTP, es decir, se envía automáticamente una ventana de contraseña. Puede activar su MobileID en la plataforma https://mobileid.ch . Si se utiliza y activa la aplicación MobileID, se utiliza la aplicación MobileID.

En el caso estándar, después de la identificación, el cliente recibe primero los términos de uso del servicio de firma de Swisscom. El cliente lo confirma y, por lo tanto, activa una firma inicial de estas condiciones, en cuyo contexto también puede definir la contraseña por primera vez. La llamada "autenticación escalonada".

De forma predeterminada, Swisscom actualmente solo ofrece estos métodos. Sin embargo, la extensión se trabajará en el futuro, por lo que los métodos biométricos también pueden ser posibles si se ha otorgado la aprobación. Además, Swisscom acompañará opcionalmente al cliente si desea utilizar una solución auditada para permitir una firma adicional en la autoridad de reconocimiento. Se incurrirá en costos adicionales.

La base de la autenticación de 2 factores es el hecho de que ambos factores deben registrarse en relación con la autenticación, es decir, no se puede elegir una contraseña que solo conozca la aplicación del suscriptor, pero el suscriptor mismo ha sido identificado con RA-App. Tal excepción solo podría imaginarse si el propio participante realiza una identificación autorizada por delegación de RA y además diseña el procedimiento de autenticación de tal manera que ambos factores (inicio de sesión, liberación de SMS) se realicen en una breve sesión. Tanto el propio procedimiento de identificación como este procedimiento de sesión deben describirse en detalle en un concepto de implementación y requieren una autorización por parte de Swisscom y sus auditores. Aquí se incurre en costos adicionales.

Si ha sido identificado y ha utilizado previamente PWD / OTP:

• Si desea utilizar la aplicación Mobile ID, debe volver a identificarse
• Si desea utilizar Mobile ID (número de teléfono móvil suizo), debe volver a identificarse

Si ha sido identificado y ha utilizado previamente el Mobile ID:

• Si ahora desea usar la aplicación Mobile ID (esto solo será posible en una tarjeta SIM que no admita Mobile ID) y use el código de recuperación de Mobile ID, puede continuar firmando
• Si activa la aplicación SIN código de recuperación, debe volver a identificarse
• Si desea utilizar PWD / OTP, debe volver a identificarse

Si ha sido identificado y ha utilizado la aplicación Mobile ID hasta ahora:

• Si ahora desea usar el Mobile ID de la tarjeta SIM (esto solo será posible en una tarjeta SIM suiza) y usar el código de recuperación de la aplicación Mobile ID, puede continuar firmando
• Si activa el Mobile ID de la tarjeta SIM SIN código de recuperación, debe ser re-identificado
• Si desea utilizar PWD / OTP, debe volver a identificarse

Esto significa que Mobile ID y Mobile ID App son métodos de autenticación coordinados, PWD / OTP es un método de autenticación completamente diferente. La firma remota siempre requiere que los medios de autenticación se incluyan durante el registro (es decir, durante la identificación). Por lo tanto, en algunos casos, será necesaria una nueva identificación.

Como agente de RA, debe informar a Swisscom a través de la página de soporte en caso de que el teléfono móvil no esté protegido adecuadamente contra ataques maliciosos (como una contraseña con 8 caracteres, etc.) o si aún está conectado a la RA App ya que podrían ocurrir problemas graves de protección de datos. . En caso de firmas, debe cancelar su tarjeta SIM, eventualmente cambiar sus datos de acceso y dejar de colocar firmas hasta que reciba su nueva tarjeta SIM.

Swisscom no puede garantizar suficientemente la recepción del SMS. El único factor responsable de Swisscom es enviar el SMS lo más rápido posible. Ni las condiciones de recepción de la señal móvil ni el rendimiento del socio de roaming interno o externo se pueden controlar y se basan en contratos y estándares internacionales de telecomunicaciones.

El uso del nombre del remitente como "Swisscom" o similar sería útil para el destinatario. Pero, de hecho, hemos experimentado que nuestros socios de roaming a menudo tratan tales SMS como SMS no deseados.

Sí, después de 5 años, las personas identificadas para firmas avanzadas también deben ser identificadas nuevamente. Sin embargo, para las firmas anticipadas es suficiente si la cédula de identidad era válida en el momento de la identificación. Si esto expira dentro de los 5 años, no es necesaria una nueva identificación. Para firmas calificadas, por otro lado, una identificación es válida mientras la tarjeta de identificación sea válida o por un máximo de 5 años después de esta identificación. En casos especiales, por ejemplo, cuando se utiliza la identificación bancaria, la validez de una identificación también puede restringirse a un período inferior a 5 años si la normativa así lo requiere.

Sí, esta es la única tarea de la aplicación del suscriptor, que luego envía repetidamente el hash con la solicitud de firma al All-in Signing Service. Se puede generar cualquier número de firmas para el mismo documento digital.

Sí, pero esto requiere 2 canales de comunicación y configuraciones, es decir, la firma debe ser primero autenticada por la persona que firma a través de un canal (bajo demanda) y luego firmada organizacionalmente (con certificado estático creado previamente) por un certificado de autenticación SSL a través de un segundo canal.

Sí, se pueden firmar varios documentos con una sola aprobación dentro de una sesión. A un máximo de ca. 250 firmas.

Las firmas XML según el estándar XADES se pueden realizar en base a sellos pero no a firmas personales (en el momento). En el cliente hay que preparar el estándar XADES: Se debe implementar la llamada de una “firma simple”.

Para firmas en el área legal suiza: www.validator.ch (Atención, el validador no siempre está actualizado). Para firmas en el área legal de la UE: https://www.signatur.rtr.at/de/vd/Pruefung.html

Cabe señalar que los validadores de la UE están lejos de estar armonizados. Esto significa que los portales de prueba pueden presentar una firma electrónica calificada como "inválida", aunque cumpla con los requisitos para la datación eIDAS. La UE está trabajando en la armonización.

Solo se pueden validar las firmas QES. No hay validadores para las firmas AES.

Se deben abrir dos cuentas de usuario (ClaimedIdentity), cada cuenta está relacionada con el tipo de firma respectivo, es decir, la aplicación participante debe decidir, sobre qué cuenta envía una consulta de firma. Ambas cuentas se pueden direccionar a través de una interfaz, es decir, el mismo punto final. Hay una tarifa de servicio por cuenta. Se emiten 2 facturas a fin de mes. Por lo tanto, se deben presentar 2 contratos de servicio con 2 declaraciones de configuración y aceptación diferentes. Si tiene 2 áreas legales y 2 tipos de facturación, todavía tiene solo una interfaz (técnica), pero 4 puntos de interfaz de acceso al servicio y, por lo tanto, 4 veces una tarifa de servicio. Se duplica nuevamente a 8 ClaimedID, si ambos niveles de firma (QES / AES) están planificados con ambos tipos de facturación y ambas jurisdicciones.

Sí, por ejemplo:

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

También se pueden encontrar muchos ejemplos en nuestras páginas de socios: https://trustservices.swisscom.com/partner

En principio, una marca de tiempo también almacena la zona (el desplazamiento). A este respecto, todos los programas locales mostrarán la hora local real.

En principio, Swisscom proporciona un hash firmado y, por lo tanto, admite formatos PADES (PDF) y, en el caso de certificados de organización, formatos XADES (XML). Los archivos de Word no están firmados y no están destinados a este fin por ley.

No

No, solo existe una marca de tiempo común.

Principalmente sí. En caso de uso del apellido y el nombre de pila, debe ser exactamente el mismo que se encuentra en el DNI o pasaporte. Pero si esto es difícil de implementar, la función de plantilla puede admitir ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Esta característica permite tomar el control del nombre y apellido exactos que se utilizaron durante la identificación en combinación con el Servicio RA (SRS).

Swisscom también puede configurar el servicio de manera que solo se utilice un seudónimo en lugar del apellido y el nombre de pila. Además, el “Nombre común” (CN) podría usarse con los nombres que se usan habitualmente para esta persona (independientemente del documento de identidad). La llamada de verificación de RA-Service verifica en este caso el número de móvil que se utilizó durante la identificación y el país. El uso del seudónimo en verifyCall es independiente del uso del seudónimo en la llamada de solicitud de firma.

Sí, hay varias bibliotecas disponibles en el mercado que permiten una implementación rápida de una aplicación de firma. Todos ellos cuentan además con soporte especial para Swisscom Service:

• Intarsys, Alemania : proporciona varias soluciones para el manejo e integración de firmas: https://www.intarsys.de/produkte/fernsignatur

Intarsys es un socio premium de Swisscom y conoce muy bien el servicio AIS desde un punto de vista técnico y puede brindar soporte de consultoría.

• PDF-Tools, Suiza : 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/
• iText, Bélgica : iTextPDF. https://itextpdf.com/de/products/product-tour . Swisscom usa iText en sus ejemplos, pero los ejemplos están "desactualizados", es decir, algunas funcionalidades han cambiado. Pero el manejo básico se puede ver allí: https://github.com/SCS-CBU-CED-IAM/itext-ais
• Setasign, Alemania : algunos clientes utilizan SetaPDF, que también ofrece una solución especial para el servicio Swisscom: https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/
• Blocksigner, Suiza (Skribble.com): https://api.skribble.com/swagger-ui.html

Swisscom rechaza cualquier responsabilidad por el funcionamiento sin errores de estas bibliotecas. Estos pueden contener errores y requieren conocimientos y experiencia especiales. El uso corre por cuenta y riesgo del suscriptor.

Ver https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

Hay un modo de prueba y demostración que le permite probar la aplicación, pero no se transmiten datos. Para ello, se debe ingresar el número de teléfono móvil +41001234567 en el formulario de registro y el nombre de la empresa “demo”.

No. Swisscom incluso requiere que, cuando la pantalla PWD / OTP esté integrada como un “iFrame”, una persona externa pueda verificar que se origina en Swisscom. Por ejemplo, se pueden utilizar las funciones estándar del navegador que Swisscom publica en el enlace de su sitio web de acuerdo con el Capítulo 4 de las Condiciones de uso. Para la integración de iFrame, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No hay soporte para el desguace de pantalla como interfaz. Developers podría enfrentarse al hecho de que se cambiarán las pantallas. También es contradictorio con la implementación del “control exclusivo” entre el firmante y el certificado firmante.

Sí, pero solo como iFrame, las instrucciones se pueden encontrar aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

No, consulte https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Sí, como se describe en la Guía de referencia ( www.swisscom.com/signing-service ) en "Método Step-Up" en el campo "Mensaje", el bloque de texto con el encabezado del mensaje para la expresión de intención y el idioma El ajuste con "Idioma" se puede configurar dentro del marco del protocolo. Para la ventana de entrada de SMS, el idioma también se puede configurar con el parámetro "Idioma".

El requisito previo para la instalación es una “declaración de configuración y aceptación” firmada por el cliente y verificada por la autoridad de registro global. Esta declaración contiene las obligaciones del operador de una aplicación de firma (por ejemplo, la posibilidad de mostrar el documento completo a firmar, asegurando el acceso al servicio), pero también las características del servicio.

Otro requisito previo es un certificado de acceso, que asegura la comunicación de la aplicación de firma al servicio de firma.

Tras comprobar el documento, nuestro Servicio de Configuración recibe la orden de activación del servicio con el certificado de acceso enviado y la especificación seleccionada en la configuración y declaración de aceptación. En el caso de firmas calificadas, el servicio inicialmente solo se activa para firmas “avanzadas”. Posteriormente, al contacto nombrado en la declaración de configuración y aceptación se le solicita una firma de ejemplo con la firma avanzada. Si esto es impecable, el servicio se cambia al nivel "calificado" si es necesario. El cliente también será notificado de esto. Ahora tiene 10 días para informar de cualquier irregularidad directamente al equipo de preparación. Si no recibe ninguna reclamación durante este tiempo, se acepta la conexión al servicio. Luego, se pueden informar más incidentes a Swisscom a través del Soporte de primer nivel en caso de un contacto directo con Swisscom o con el socio revendedor.

El certificado de acceso puede ser un certificado autofirmado. Por ejemplo, con el software openssl.

Requisitos para el Nombre Distinguido:

• CN=<URL del sistema suscriptor que realiza la comunicación con AIS u otra identificación única del sistema suscriptor>
• O=<Nombre de la organización>
• Email=<Correo electrónico con fines de notificación, por ejemplo, en caso de fin de validez>
• C=<País de la organización>

Los siguientes requisitos adicionales se considerarán al preparar el certificado:

• Plazo máximo 3 años
• Algoritmo hash mínimo SHA-256
• Longitud de clave mínima 3072 bits

Todavía se aplican condiciones especiales para los certificados de acceso en el marco de la creación de sellos regulados (ZertES) o calificados (eIDAS): La clave privada del certificado de acceso debe crearse en un módulo criptográfico en una ceremonia conjunta de un representante de la autoridad de registro de Swisscom. Este módulo debe cumplir con los requisitos de FIPS 140-2 nivel 2 o similar, por ejemplo, Yubikey, Feitan key o Microsoft Key Vault. Alternativamente, se puede presentar un concepto sobre cómo se puede lograr la asignación del certificado de acceso a la persona responsable de la organización de otras maneras.

En el caso de un sello, además de la declaración de configuración y aceptación por parte del operador de la plataforma de firma, también se requiere una solicitud de certificado para el sello certificado, un certificado de organización. A diferencia del certificado de firma personal, el certificado de sello se emite por tres años. La solicitud de certificado debe estar firmada por personas autorizadas de la organización. La autorización puede resultar del registro (por ejemplo, procuración) o también puede ser un poder especial, que se ha emitido, por ejemplo, para los operadores del centro informático. Swisscom necesita la prueba de este poder. Estas personas también son identificadas personalmente por adelantado por un representante de la oficina de registro de Swisscom utilizando RA-App. También podría ser, por ejemplo, un agente RA de un revendedor que haya realizado la identificación personal. Esto le permite a la persona firmar la solicitud usando una firma electrónica. La solicitud se envía a Swisscom sin firmar y Swisscom invita a las personas a firmar electrónicamente. Los siguientes pasos ahora difieren según el tipo de sello:

Firma avanzada: el solicitante envía a Swisscom un certificado SSL, que desea utilizar como certificado de acceso para la interfaz del sello.

Firma calificada / regulada: el solicitante acuerda una fecha con Swisscom para la creación conjunta de una clave privada. Esto debe crearse en un dispositivo criptográfico basado en la calificación FIPS 140-2 nivel 2 o similar (por ejemplo, Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.). Luego se crea un certificado de acceso basado en esta clave. Es decir, para el proceso de firma se debe liberar el acceso mediante este certificado. Alternativamente, se puede presentar un concepto sobre cómo se puede lograr la asignación del certificado de acceso a la persona responsable de la organización de otras maneras.

La incrustación de hashes firmados debe ser tarea de los especialistas en PDF o de las bibliotecas correspondientes. El espacio para la firma debe calcularse previamente. Eche un vistazo a https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

La siguiente solución puede proporcionar una solución. Presentamos esto aquí sin garantía, ya que Swisscom se enfoca solo en el servicio y no en la aplicación de firma:

• Cree un PDF con un campo de firma en blanco y precargado
• El rango de bytes debe llenarse con ceros hasta el tamaño esperado
• Calcular el hash del documento
• Firme el hash con el todo incluido Signing Service
• Complete el hash firmado en el campo de firma vacío
• Iterar al campo de firma vacío
• Determine el rango de bytes del campo de firma vacío
• Calcular el desplazamiento del rango de bytes
• Abra el documento con el campo de firma vacío en modo lectura-escritura y busque el desplazamiento donde se insertó el hash

También es muy importante seguir las pautas para el estándar PADES y la validación a largo plazo: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

En los parámetros devueltos de Verify Call, se devuelve el llamado "serial". Si esto comienza con "SAS" (es decir, SASxxxxxxx), el cliente utilizará la autenticación PWD / OTP. Si comienza con "MID" (es decir, MIDxxxxxx), el cliente utiliza el procedimiento Mobile ID. Sin embargo, no es posible distinguir entre la aplicación Mobile ID y la tarjeta SIM Mobile ID.

Sin embargo, los resultados se pueden utilizar, por ejemplo, para proporcionar textos de ayuda especiales (por ejemplo, si se olvida la contraseña, etc.) al cliente, o para hacer referencia a la declaración de voluntad en el teléfono móvil.

VerificarCall le permite verificar si un firmante ya está registrado o no. Si elige el seudónimo, solo necesitará el número de teléfono móvil y el país del firmante. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS # 1 solo es compatible con el formato CADES y los sellos, pero no con las firmas personales.

No, solo PADES / CADES para sellos y PADES para firmas personales.

Es compatible con Swisscom para encontrar un nombre para ClaimedID (acceso a signing service).

Sí, simplemente marque la casilla de verificación correspondiente.

Actualmente estamos en proceso de ampliar nuestras capacidades con otros algoritmos (pregeneración de claves) y expansión de HW. Dado que varios clientes utilizan el servicio, asumimos una carga máxima de una solicitud por segundo en promedio por cliente. Opcionalmente, es posible un rendimiento superior, es decir, capacidades especialmente reservadas.

Está limitado a 250 debido a razones de seguridad más que a la capacidad del servicio.

Tenga en cuenta que instalamos un WAF para proteger nuestro servicio contra ataques de denegación de servicio. Si desea realizar algunas pruebas masivas, póngase en contacto con nosotros de antemano.

La firma debe estar firmada con una declaración de voluntad (autorización) por Mobile ID (SIM / App) o PWD / OTP. Después de enviar la solicitud, el usuario generalmente tiene 80 segundos para ingresar la autorización. El valor no es ajustable.

Cada firma se calcula individualmente, es decir, en este ejemplo se calculan 5 firmas.

No, se ofrecen a través de dos ClaimedID diferentes y se facturarán de forma independiente.

Swisscom no cobra ningún costo por el envío de Mobile ID o SMS. Dependiendo de la tarifa del socio de itinerancia, es posible que se generen costes por itinerancia (lo que ocurre muy raramente, por ejemplo, en cruceros).

Aquí se deben abrir dos cuentas de usuario (ClaimedIdentity), cada cuenta está conectada con un método de facturación. Esto significa que la aplicación del suscriptor debe decidir por sí misma qué cuenta utilizará para enviar una solicitud de firma. Hay una tarifa de servicio por cuenta. Se emiten 2 facturas a fin de mes.

No hay costos para estos meses.

Sí, se hace una distinción entre si los signatarios han aceptado las condiciones de uso de Suiza o la UE o ambos. Swisscom (Schweiz) AG también procesa todos los datos para Swisscom IT Services Finance SE en Viena.

Suiza no pertenece a la UE y, por lo tanto, no ha introducido una legislación de la UE, el llamado Reglamento general de protección de datos (GDPR). En realidad, el RGPD también es aplicable si las empresas tienen su sede en Suiza y ofrecen servicios en la UE.

Por lo tanto, Swisscom está sujeta a las mismas obligaciones de manejo de datos que todas las demás organizaciones que deben cumplir con el GDPR:

• obtener el consentimiento de la persona cuyos datos se tratan
• Garantía de "Privacidad por diseño" y "Privacidad por defecto"
• nombrar un representante de protección de datos
• crear una lista de actividades de procesamiento
• informar sobre violaciones de la protección de datos a la autoridad supervisora
• realizar una evaluación de impacto en la privacidad

Todas las aplicaciones relacionadas con la protección de datos y que se utilizan para el procesamiento de datos, por ejemplo, también la RA-App deben ser compatibles con GDPR. Swisscom proporciona información sobre esto en sus páginas:

Suiza: www.swisscom.com/signing-service

Austria: www.swisscom.at

con las correspondientes declaraciones de protección de datos según GDPR.

Suiza siempre ha sido y se considera un tercer país seguro de conformidad con el art. 45 GDPR (transferencia de datos basada en una decisión de adecuación), es decir, las autorizaciones habituales como con otros terceros países (por ejemplo, los EE. UU.) No son necesarias. Gracias a su Ley de Protección de Datos y la continua adaptación al RGPD, Suiza tiene un "nivel adecuado de protección para la transferencia de datos personales" de acuerdo con los criterios de la UE, es decir, debe ser tratado como un país de la UE cuando se transfieren datos:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Como parte de sus auditorías en curso, Swisscom debe asegurarse de que se cumplan todos los requisitos estrictos de protección de datos necesarios para la emisión de firmas digitales, tanto frente a la autoridad de certificación en Suiza como frente al organismo de evaluación de la conformidad en Austria. Esto significa que, además de la autodeclaración, los proveedores de servicios de confianza y los servicios de certificación están obligados por la legislación y los estándares internacionales aplicados, como ETSI 319401, a demostrar y haber auditado la protección de datos adecuada para todos los datos personales.

Los requisitos de protección de datos que deben demostrarse y auditarse también se aplican a las actividades de la autoridad de registro, una tarea de un proveedor de servicios de confianza y un proveedor de servicios de certificación. Por lo tanto, la aplicación RA como parte del proceso de registro debe garantizar la protección y la privacidad de los datos. La RA-App en sí no almacena ningún dato personal de forma permanente. Tampoco se pueden exportar datos. Tan pronto como se haya completado la identificación, los datos se transfieren firmados por el agente de RA como las llamadas pruebas. Esta evidencia se almacena en el servicio RA de Swisscom bajo estrictas condiciones de seguridad (por ejemplo, acceso de 4 ojos). Solo unas pocas personas tienen acceso a estos datos y solo pueden transmitirlos en base a una orden judicial o se les permite verificar la calidad de la identificación. Según la ley, Swisscom tiene una responsabilidad ilimitada por la correcta ejecución de la firma y, por lo tanto, también la identificación.

Los Agentes RA Master tienen acceso web a un portal en el que pueden ver a todas las personas identificadas por RA Agents con su apellido, nombre, fecha de caducidad del documento de identidad y número de teléfono móvil. Los documentos de identidad y las fotos (las llamadas "pruebas") no son accesibles ni exportables.

Swisscom está legalmente obligado a registrar datos personales para la firma. Por tanto, es responsable de estos datos. Esto significa que Swisscom no puede desempeñar el papel de procesador de datos, incluso si recibe, por ejemplo, datos de empleados de una empresa cliente para la firma. Swisscom tiene un mandato legal como el de los proveedores de servicios postales o de telecomunicaciones. Además, Swisscom tiene una relación contractual legal con los signatarios con los términos de uso. En este acuerdo, el firmante también acepta el uso de datos.

Con la aplicación RA, Swisscom transfiere el registro de los datos de identidad a un proveedor de servicios externo, al que se hace referencia en los contratos como la "agencia RA". El GDPR requiere en este caso un contrato de procesamiento de pedidos. Por lo tanto, la agencia RA debe cumplir con las obligaciones para el procesamiento de datos de pedidos.

El cumplimiento del procesamiento de datos de pedidos GDPR también se requiere en proyectos puramente suizos. Hay dos razones para esto:

• Por un lado, rara vez se puede garantizar que las personas identificadas en Suiza no sean ciudadanos de la UE sujetos al principio de mercado del RGPD.
• Por otro lado, la aplicación RA no se puede utilizar de tal manera que solo se identifiquen las personas de Suiza, es decir, el procesamiento de datos de pedidos siempre se lleva a cabo para Swisscom IT Services Finance SE en Viena también.

Hay proyectos en los que Swisscom se basa en procedimientos de identificación legalmente reconocidos y auditados con terceros. Un ejemplo típico es un banco que realiza una identificación de presencia de una persona como parte de su proceso KYC. En este caso, Swisscom recibe una copia de los datos del banco para sus propios fines comerciales (firma). El procesamiento de datos de pedidos no es necesario aquí, ya que hay dos partes responsables de los datos. Por el contrario, el principio de control conjunto del GDPR tampoco se aplica aquí, ya que la capacidad de respuesta de los datos no tiene el mismo propósito comercial y ambas partes no actúan de manera responsable en el sentido de un propósito comercial común. El banco actúa para su propósito comercial, por ejemplo, abrir una cuenta, y Swisscom persigue su propósito comercial de emitir firmas. No obstante, en este caso nuestros contratos sobre la “delegación de actividad registral” también contienen un mínimo de disposiciones sobre cómo proceder con respecto a la protección de datos y el RGPD.

En el caso de una firma remota, Swisscom conserva y gestiona las claves de los certificados de firma en fideicomiso. En el caso de una firma personal, los certificados de firma solo se generan para la firma y pierden su validez después de aprox. 10 minutos. Los certificados de empresa para sellos tienen una validez de hasta 3 años. De acuerdo con la ley, la clave privada debe almacenarse en un dispositivo de creación de firmas (calificado). La memoria para esto es un dispositivo que está diseñado principalmente para el almacenamiento de claves, el HSM (Módulo de seguridad de hardware). Está sujeto a una estricta regulación, auditoría, en cuanto a estándares de seguridad y acceso a este dispositivo. Las firmas en la UE y Suiza están sujetas a estándares de seguridad particularmente altos, que solo están disponibles en unos pocos fabricantes de HSM en todo el mundo.

Swisscom Trust Services es un servicio de plataforma pura que proporciona los servicios de firma legalmente requeridos como firma remota a una gran cantidad de clientes en Europa de una manera altamente estandarizada y regulada utilizando flujos de trabajo estándar para el procesamiento. El contrato tipo previsto a tal efecto ha sido presentado a las autoridades de control y/o auditado en consecuencia. Por lo tanto, Swisscom Trust Services no proporciona ningún servicio específico del proyecto en el ámbito de la firma o el registro ni los gastos de los procedimientos contractuales que se desvían del flujo de trabajo contractual estándar, con la excepción de los servicios de consultoría encargados por separado por adelantado.
Por lo tanto, podemos ofrecer a todos los clientes y socios los mismos precios favorables según el servicio y la lista de precios. apreciamos su comprensión.

Esto también se aplica a este respecto y en particular (pero no exclusivamente):

• Conclusión de todos los acuerdos y contratos adicionales, por ejemplo, Código de Conducta, acuerdos para la inclusión en el directorio de proveedores, políticas de adquisiciones, directivas anticorrupción, GTC específicos de proyectos o clientes, declaraciones de protección de datos, procesamiento de protección de datos, etc., como estos también podría socavar los contratos estandarizados y regulados.
• Cambios en los contratos, en particular también la ley aplicable, desviando los deseos de seguros.
• Desviaciones de los procesos del contrato, por ejemplo, uso de plataformas adicionales para el registro de proveedores/firma de contratos.
• Acuerdos especiales sobre la inspección de arquitectura o divulgación de detalles de implementación (por ejemplo, procedimientos de respaldo, programación y detalles de seguridad como protección de acceso, accesos, procedimientos criptográficos, recuperación de desastres, etc.). Swisscom publica toda la información sobre la práctica de prestación de servicios en su CP/CPS (https://trustservices.swisscom.com/repository ) y el documento básico para la CP/CPS. Por razones de seguridad, no se divulgan más detalles a ningún cliente, por lo que no se puede acumular conocimiento para diseñar ataques dirigidos si es necesario.
• Solicitudes de conexión a monitoreo interno, Swisscom publica fallas en su servicio a través del sitio web https://trustservices.swisscom.com/status-service , al que también se puede suscribir en el marco del protocolo RSS. Por razones de seguridad, no se permite ninguna otra intervención en el sistema con fines de control.

La certificación y trust services deben describir sus prácticas y procedimientos sobre cómo realizan un servicio en un documento denominado “CP/CPS” (Política de certificación/Declaración de prácticas de certificación). Los servicios son auditados no solo al comienzo de la actividad, sino regularmente por auditores reconocidos por el estado y el organismo de reconocimiento (Suiza) o el organismo de supervisión (UE) del estado deciden sobre la base de las auditorías sobre la aprobación, operación continua o expansión de los servicios de certificación y trust services y así asegurar el alto estándar de calidad en el mercado para todos los signatarios. Además de los requisitos legales generales, se deben cumplir numerosas normas de los organismos de normalización europeos ETSI y CEN.
El estado publica el cumplimiento de las normas y estándares de auditoría y, por lo tanto, también la aprobación como una certificación reconocida o un servicio de confianza en sus sitios web:

• Suiza
• UE (lista de confianza)

Ambos deben ser personas de TI que estén familiarizadas con la aplicación. No es necesario que sea una persona con el rol oficial de “Delegado de Privacidad”. Swisscom simplemente quiere mantener el principio de los 4 ojos aquí. Los roles son: Poder proporcionar información sobre la administración de la aplicación del usuario (quién tiene acceso, qué podría manipular un administrador, dónde podría haber un problema, conexión SSL a Swisscom) y sobre temas como protección antivirus, control de acceso. en general, etc. al responsable de seguridad.

Por un lado, una empresa interna puede convertirse en socio revendedor de Swisscom para otras empresas en caso de que se planee un gran volumen. En este caso, el flujo de pago pasa directamente solo a través de esta empresa individual. Una empresa también puede asumir la responsabilidad total del funcionamiento de la aplicación del suscriptor. Incluso entonces, las facturas solo pasarán por esta empresa. A continuación, puede identificar a los empleados de las otras empresas.

Si todas las empresas quieren operar la aplicación de suscriptor de forma independiente (con su propia responsabilidad y responsabilidad) y también quieren proporcionar agentes de RA ellos mismos, se requiere un contrato por separado para cada empresa.

Cada año, Swisscom invierte grandes sumas de dinero en auditorías en curso. Sin embargo, para poder colocar en el mercado la oferta de un prestador de servicios de confianza a un precio razonable, este servicio se ofrece de forma estandarizada. Eso significa en particular:

• El cliente debe adherirse al proceso de pedido estándar con los documentos de contrato estándar publicados por los auditores.
• La oferta no incluye evaluaciones adicionales por parte de los participantes ni el examen y aceptación de los textos de los propios contratos.

Muchos aspectos del proveedor de servicios de confianza están sujetos no solo a las condiciones en la ejecución del servicio, sino también a la especificación de obligaciones importantes, regulaciones de responsabilidad y servicios de cooperación en los documentos del contrato. Por lo tanto, estos documentos contractuales también están sujetos a auditoría o también se envían a los organismos estatales de evaluación de la conformidad. Por lo tanto, no se pueden aceptar cambios en el sistema legal, ni se pueden aceptar los anexos contractuales del participante, especialmente si están sujetos a la ley extranjera aplicable.

No obstante, si es necesario adaptar los textos contractuales, añadir normativas contractuales (p. Ej., Su propio Código de conducta, Declaración de protección de datos, NDA, etc.), procesar cuestionarios de evaluación especiales o si incluso ha descubierto errores o formulaciones poco claras, infórmelo a nuestra gestión de productos.

Si hay errores o ambigüedades evidentes, la gestión de productos inicia el proceso de cambio correspondiente y se implementa lo más rápido posible.

Para la evaluación de otras preguntas, se forma un equipo de procesamiento que recurre a los expertos relevantes (por ejemplo, departamento legal, oficial de seguridad, oficial de cumplimiento, etc.) y lleva a cabo una evaluación de la solicitud. A tal efecto, se debe abonar una tasa específica del proyecto de 6.000 francos suizos. Si el equipo de expertos no pudo encontrar una solución directamente, preparará una respuesta y una oferta, que presentará y evaluará los pasos adicionales por parte de Swisscom.

No, solo para el funcionamiento de la aplicación de firma no se requiere certificación ni auditoría. Dentro del alcance de una "declaración de configuración y aceptación", el cliente realiza una autodeclaración para operar correctamente la aplicación de firma, es decir, no intercambiar el hash de un documento y mostrar realmente el documento a firmar al cliente (WYSIWYS = “Lo que ves es lo que firmas”). El tráfico de datos entre la aplicación de firma y Swisscom debe estar encriptado y debe garantizarse la protección básica contra virus y ataques como con cualquier otro sistema. Una auditoría oficial con certificación solo puede ser necesaria si el sistema tiene su propia identificación, especialmente en relación con su propio método de autenticación. En Suiza, la identificación con los métodos de autenticación de Swisscom puede tratarse de una manera simplificada mediante un “concepto de implementación” adecuado presentado por el cliente y aprobado por Swisscom; en la UE, generalmente es necesaria una auditoría oficial. Como regla general, un método de autenticación siempre debe estar certificado, ya que esto debería garantizar el "control exclusivo" del certificado de firma (denominado "control exclusivo" en el contexto del ETSI).

En principio, la empresa debe designar representantes. Estos representantes deben ser los representantes registrados de acuerdo con el registro comercial o empresarial, o empleados con poderes apropiados firmados por los representantes registrados. En cualquier caso, las personas deben estar identificadas personalmente con nuestra RA-App. En Suiza, solo las empresas registradas en el Registro UID pueden solicitar sellos. Con el sello, el certificado de acceso SSL entre la aplicación de firma en el cliente y Swisscom sirve como autenticación de la empresa. Por tanto, el certificado de acceso debe ser entregado por el representante de la organización. Con el sello avanzado, la entrega simple es suficiente; con el sello calificado, se lleva a cabo una ceremonia de entrega conjunta en la que se genera conjuntamente el certificado de acceso. La clave privada debe almacenarse en un dispositivo criptográfico (FIPS 140-2 nivel 2 como mínimo).

En principio, Swisscom tiene una responsabilidad ilimitada conforme a la ley por la emisión incorrecta de certificados calificados. En el caso de certificados avanzados, esta responsabilidad puede ser limitada. Swisscom también está asegurado obligatoriamente para este propósito. En caso de errores en la aplicación de la firma (por ejemplo, el intercambio de un hash de un documento) o errores en la identificación por parte de registros de terceros, Swisscom a su vez responsabilizará a estos terceros. Para evitar los riesgos de responsabilidad, se imponen altas exigencias al proceso de emisión y contratación y generalmente se requiere la posibilidad de auditar a los terceros involucrados.

La legislación suiza, es decir, la Ley federal suiza de firma electrónica (ZertES/SCSE), establece los requisitos que las organizaciones deben cumplir para ser reconocidas como un servicio de certificación. El organismo de acreditación acreditado para la acreditación de Swisscom como servicio de certificación en Suiza es KPMG (Accreditation No. SCESm 0071). Emite un certificado de evaluación de la conformidad (disponible en www.swisscom.com/signing-service). El Servicio Suizo de Acreditación SAS mantiene una lista de servicios de certificación acreditados: Enlace

Con la entrada en vigor del Reglamento sobre Identificación Electrónica y _Servicios_de_confianza_ para las transacciones electrónicas en el mercado interior de la Unión Europea (eIDAS), se han sentado las bases para la comunicación electrónica legalmente válida y la identificación electrónica segura en toda Europa. Con la ayuda de _servicios_de_confianza_ como firmas electrónicas, sellos, sellos de tiempo, servicios de entrega y certificados de autenticación, empresas, administraciones y particulares pueden intercambiar documentos digitales como ofertas, pedidos, contratos, etc.dentro de la Unión Europea sobre una base legal uniforme . Por lo tanto, el nuevo reglamento de la UE reemplaza la ley nacional de firmas y los reglamentos de firma.

En virtud de este Reglamento (CE) n.o 910/2014 / UE (Reglamento eIDAS) , las Listas de confianza nacionales tienen un efecto constitutivo. En otras palabras, un proveedor de servicios de confianza y los _servicios_de_confianza_ que proporciona estarán calificados solo si aparecen en las Listas de confianza. En consecuencia, los usuarios (ciudadanos, empresas o administraciones públicas) se beneficiarán del efecto jurídico asociado a un determinado servicio de confianza cualificado solo si este último figura (como cualificado) en las Listas de Confianza.

La subsidiaria de Swisscom en Austria, "Swisscom IT Services Finance SE", Viena, ha sido incluida en esta lista de confianza con certificados y sellos calificados:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE ha encomendado a Swisscom (Suiza) Ltd la operación del servicio fiduciario y también ha delegado las actividades de autoridad de registro a Swisscom (Suiza) Ltd. Swisscom (Suiza) Ltd., por lo tanto, ofrece el servicio al mercado y también acepta documentos contractuales. en nombre de Swisscom IT Services Finance SE.

Swisscom solo puede confirmar que puede emitir firmas calificadas en ambos sistemas legales de acuerdo con el Reglamento eIDAS de la UE y la Ley ZertES de Suiza. Las firmas suizas calificadas solo se reconocen como calificadas en Suiza y las firmas calificadas eIDAS en la UE.

Si la firma calificada cumple con algún contrato, siempre debe ser verificado por un abogado. Swisscom no puede proporcionar ninguna información legal a este respecto. Esto no solo está relacionado con la firma, sino también con otros puntos que se acuerden en los contratos. Por ejemplo, el requisito de "devolución por correo certificado" puede significar que una firma electrónica no se puede ejecutar en absoluto, ya que una ruta de papel postal es obligatoria.

Tanto en los sistemas legales de la UE como en Suiza, la inversión de la carga de la prueba (y en Alemania también la evidencia prima facie en comparación con la evidencia visual) se aplica en principio a las firmas calificadas. Esto significa que una parte contraria debe probar que la firma calificada no se ejecutó correctamente si es impugnada. Y, por supuesto, Swisscom puede proporcionar verificaciones certificadas por KPMG para demostrar que la firma calificada se ha ejecutado debidamente.

Los períodos de conservación para la verificación de identidad y el diario de actividades y, por lo tanto, también los períodos de prueba son de 11 años en Suiza y de 35 años en la UE. Swisscom generalmente utiliza el estándar de validación a largo plazo de ETSI (LTV).

La validación a largo plazo significa validar una firma de tal manera que siga siendo válida durante mucho tiempo. La validación de LTV solo permite la validación siempre que el certificado raíz de la marca de tiempo no haya expirado. Por lo tanto, es aconsejable volver a sellar la fecha y hora de los documentos antes de su vencimiento si se desea conservar la evidencia a largo plazo, de modo que la integridad y el significado de la evidencia de la firma continúe garantizada.

En principio, los documentos PDF también deben gestionarse en archivos seguros. Puede surgir una situación en 5, 10 o 20 años en la que los algoritmos de firma se “resquebrajen”, es decir, ya no se pueda garantizar la integridad o autenticidad. Por lo tanto, los buenos sistemas de archivo prevén una renuncia regular, por ejemplo, con una marca de tiempo, que siempre utiliza el algoritmo más reciente y, por lo tanto, garantiza la integridad del documento.

La web ofrece diferentes enlaces con procedimientos optimizados para ello, por ejemplo, “Archisig”. La BSI alemana también ha publicado una directriz técnica "Preservación del valor probatorio de los documentos firmados criptográficamente". Es la especificación de los requisitos técnicos de seguridad para la preservación a largo plazo del valor probatorio de los documentos y datos electrónicos firmados criptográficamente junto con los datos administrativos electrónicos asociados (metadatos).

Un middleware definido para estos fines (middleware TR-ESOR) en el sentido de esta guía comprende todos aquellos módulos e interfaces que se utilizan para asegurar y mantener la autenticidad y para probar la integridad de los documentos y datos almacenados.

La experiencia ha demostrado que los períodos de transición pueden durar de 3 meses a 2 años.

No.

Después de la terminación del contrato, los certificados de sello válidos existentes serán revocados.

La forma en que se debe realizar dicho escenario de "cierre" está regulada por la ley: el CP / CPS del servicio de certificación o del servicio de confianza describe los procedimientos exactos. Debe haber un plan de cierre, y la autoridad supervisora notificada u OFCOM generalmente designará un sucesor que podría ofrecer el servicio a los clientes. Este sucesor normalmente también recibirá la Lista de revocación de certificados y, por lo tanto, la lista de validez de los certificados, siempre que Swisscom no los publique. La lista seguirá funcionando durante años, por lo que se podrá seguir verificando la validez de las firmas. La evidencia en los registros para el servicio debe mantenerse de acuerdo con los períodos de retención incluso después de la terminación de más de 11 o incluso 35 años, Swisscom o un sucesor designado debe establecer un sistema de archivo para esto, para que esta información también se pueda utilizar en negociaciones legales. . Las identificaciones proporcionadas ya no se pueden utilizar con un posible sucesor, es decir, en este caso son necesarios nuevos registros.

Las firmas electrónicas pueden presentarse como prueba en un litigio. Por regla general, a excepción de la firma calificada, están sujetos a la evaluación gratuita de pruebas. Dado que las firmas electrónicas “simples” y “avanzadas” apenas se definen o solo de manera aproximada por ley, es responsabilidad del tribunal aceptar o no dicha firma. La parte que desee presentar estas firmas como válidas deberá aportar las pruebas pertinentes. En el caso de Swisscom, es útil que las firmas avanzadas también estén sujetas a una auditoría muy estricta de acuerdo con el estándar ETSI para firmas “NCP +” y, por lo tanto, se pueden utilizar dichos informes de auditoría. En el caso de firma calificada, se aplicará la revocación de pruebas. Dado que la firma calificada está determinada con precisión por la ley y, por ejemplo, tanto Suiza como Austria ofrecen validadores para la validez de dichas firmas en la web, estas firmas se consideran válidas hasta que una de las partes demuestre lo contrario y, por lo tanto, también pruebe que la autoridad supervisora o la OFCOM así como los auditores no han cumplido con sus obligaciones. Después de 11 años en Suiza o 35 años en Austria, la prueba también puede causar dificultades en el campo calificado, ya que los documentos de registro deben destruirse. Sin embargo, la firma sigue siendo visible como "calificada".

En el contexto de una prueba después de muchos años, también debe tenerse en cuenta que los documentos archivados electrónicamente deben tener el sello de tiempo repetidamente de vez en cuando. Puede suceder que los algoritmos ya no sean tan robustos. Una marca de tiempo sella el documento con los últimos algoritmos, protegiendo la integridad del documento, incluidas las firmas.

Las firmas eIDAS calificadas solo se consideran "calificadas" en el área de la UE (y el EEE), y las firmas ZertES / SigE también se consideran calificadas solo en la jurisdicción suiza. Esto significa que cuando un tercer estado elige la ley, estas firmas ya no pueden lograr su efecto “calificado” o, si es necesario, llegar a serlo. ni siquiera reconocido.

Suiza (QES), ZertES:

El CP / CPS establece que la identificación y la documentación almacenada se pueden utilizar por un máximo de 5 años, más corto si el período de validez del DNI / pasaporte presentado finaliza antes del período de cinco años o si el procedimiento de identificación por parte de el auditor no concede 5 años.

Se aplica el período de retención de acuerdo con el artículo 11.1 de la Ordenanza de SigE / ZertES (diario de actividades): "Los proveedores reconocidos conservarán los registros relacionados con sus actividades y los documentos de respaldo relacionados con ellos durante once años". Swisscom también entiende este período como un período de retención para los documentos presentados en el proceso de identificación, en particular una copia de la identificación.

Se agregó una reserva de 1 año como “colchón de seguridad” para evitar que las agencias de RA de Swisscom puedan calcular los 11 años de manera diferente, lo que significaría que Swisscom ya no tendría documentación en casos específicos, especialmente en la aplicación del Artículo 17 del SigE / ZertES (responsabilidad ilimitada).

• Como resumen, el tiempo de archivo es de 17 años, que también se describen en las condiciones de uso.

Europa, (QES), eIDAS:

Esta es la misma justificación y derivación que en el caso de QES en Suiza solo con la diferencia de que en Austria el período de retención legal es de 30 años. El artículo 10.1 de la SVG (Ley de Firma y Servicios de Confianza) establece:

Derechos de acceso y período de retención

10. (1) A petición de los tribunales u otras autoridades, un TSP calificado otorgará acceso a la documentación de conformidad con el Artículo 24 (2) lit. h eIDAS-VO y su base de datos de certificados.

(2) […].

(3) La documentación es proporcionada por el TSP calificado durante 30 años, calculados a partir de la fecha de ingreso del certificado calificado al final de la vigencia o, en su defecto, 30 años a partir de la fecha en que se emitió la información relevante sobre los datos y recibido por el VDA calificado en el curso de sus actividades.

• Como resumen, el tiempo de archivo es de 36 años, que también se describen en los Términos de uso de eIDAS.

Firmas avanzadas (eIDAS, ZertES)

El CP / CPS establece que la identificación y la documentación archivada se pueden utilizar durante un máximo de 5 años, más corto si el período de validez de la tarjeta presentada finaliza antes del período de cinco años o si el procedimiento de identificación no permite 5 años.

No existen períodos de retención legales en el área de AES, ya que los períodos de retención no están regulados por ley. Sin embargo, los estándares ETSI prevén un período de 7 años. Esta información se deriva de la Directiva ETSI EN 319 411-01:

6.4.6 Archivo de registros

Se aplican los siguientes requisitos particulares:

NOTA: ETSI TS 101 533-1 [i.13] sugiere disposiciones sobre cómo preservar los objetos de datos digitales.

a) El TSP conservará lo siguiente durante al menos siete años después de que cualquier certificado basado en estos registros deje de ser válido:
i) registro de todos los eventos relacionados con el ciclo de vida de las claves administradas por la CA, incluidos los pares de claves del sujeto

generado por la CA (véase la cláusula 6.4.5, elemento g));

ii) documentación tal como se identifica en la cláusula 6.3.4.

Se agregó una reserva de 1 año como “colchón de seguridad” para evitar que las agencias de RA de Swisscom pudieran calcular los 11 años de manera diferente.

• Como resumen, el tiempo de archivo es de 13 años, que también se describen en los Términos de uso de eIDAS.

En el caso de los certificados personales, Swisscom solo emite certificados a corto plazo (los denominados certificados “one-shot”) que tienen una duración de 10 minutos y solo se utilizan para una solicitud de firma. La probabilidad de que el certificado se haya visto comprometido durante estos 10 minutos es prácticamente inexistente. Después de eso, el certificado no es válido y no se puede comprometer. Gracias a la validación a largo plazo, las firmas con este certificado siguen siendo válidas y también se pueden validar por períodos de tiempo después de su vencimiento.

Si toda la CA (es decir, el certificado raíz) de la certificación y el servicio de confianza se ha visto comprometida, existe un proceso que Swisscom describe en su CP / CPS (consulte Área de descargas – Repository).

Si un firmante pierde su medio de autenticación o descubre que su identidad se ha determinado incorrectamente, nuestro equipo de soporte debe ser informado de inmediato. En una relación contractual con uno de nuestros socios, comuníquese con el socio con el que ha proporcionado su firma o identificación. Luego, tomará más medidas para bloquear esta identificación. Si un certificado de sello se ha visto comprometido, utilice los datos de contacto proporcionados en https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

1. Contrato cerrado oralmente: Muy difícil de probar (solo con el testimonio de otras personas)
2. Firmado con una firma simple, por ejemplo, una imagen de firma escaneada: el mismo problema. El proceso de generación de esta firma debe ser analizado en el juzgado y debido a la debilidad del procedimiento el testigo de otras personas u otras insinuaciones jugará una regla mayor para acreditar el poder.
3. AES: para la verificación de una firma válida, las partes deben acudir nuevamente a los tribunales. El tribunal pedirá a un especialista que investigue la firma electrónica avanzada de Swisscom. Debido a las auditorías realizadas por Swisscom, el especialista puede beneficiarse de ellas. Sin embargo, el AES es más débil que el QES, por ejemplo, en lo que respecta a la forma de identificar / registrar personas, el tiempo de archivo (solo 7 años) y la autenticación de 1 factor para la firma en contraste con una autenticación de 2 factores (por lo tanto, un móvil robado el teléfono inteligente podría usarse para una firma)
4. QES: la verificación de una firma válida se puede realizar directamente a través de https://validator.ch o https://www.signatur.rtr.at/de/vd/Pruefung.html Las partes no tienen que acudir a los tribunales en caso de duda. Solo si alguien duda en general del servicio de confianza auditado y esto será una prueba contundente…. Las pruebas y registros de la firma QES se almacenarán durante el tiempo previsto para todos los documentos comerciales y fiscales en el registro comercial: más de 10 años en Suiza y 35 años en la UE.

Debido a las regulaciones de GDPR y al hecho de que las subsidiarias no forman parte automáticamente de ningún acuerdo de procesamiento de datos, debemos firmar con cada subsidiaria un contrato adicional de Agencia de RA.

Recomendamos el uso del estándar PAdES LTA (ver ETSI TS 103 172) para fines de validación a largo plazo. Encuentre más sugerencias aquí: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . Los archivos PDF deben cumplir con el estándar PDF / A.

En el caso de una firma remota, Swisscom administra sus claves para los certificados de firma en fideicomiso. Con una firma personal, los certificados de firma solo se generan para la firma y pierden su validez después de aprox. 10 minutos. De este modo evitamos la notificación de un compromiso del certificado por parte del firmante, es decir, un certificado no puede verse comprometido. El procedimiento tiene varias ventajas:

El usuario final no necesita ponerse en contacto con Swisscom (por ejemplo, una cuenta de usuario para revocar certificados).

Los destinatarios de los documentos firmados no tienen que lidiar con listas de revocación y OCSP (verificación de validez de certificados en línea).

Se evitan los problemas de seguridad con aplicaciones que solo dependen de las actualizaciones periódicas de la lista de revocación.

Las consultas OCSP provocan retrasos en el tiempo del destinatario.

Además, un certificado a corto plazo siempre proporciona una respuesta positiva: una consulta OCSP solo puede proporcionar una respuesta negativa.

Importante, la firma que se realizó con el QES, por supuesto, sigue siendo válida, independientemente del certificado.

Los certificados a corto plazo se emiten en base a los registros del servicio de registro, es decir, se basan en una autenticación fuerte. Un certificado a corto plazo solo se genera si hay autenticación (liberación) en el procedimiento 2FA.

Ejemplo de analogía en el entorno del papel: firmo un contrato con un bolígrafo de tinta. La tinta del bolígrafo está vacía después de la firma. El contrato sigue siendo válido, por supuesto.

Al firmar con un QES, se aplican los siguientes períodos de archivo de pruebas:

Los períodos de conservación de las pruebas de identificación y el diario de actividades de las firmas de la UE en Austria (donde estamos acreditados) son de 35 años y de 10 años en Suiza.

Debido al estándar PAdES B LTA, las firmas también se pueden validar mucho tiempo después de su vencimiento sobre la base de certificados a corto plazo.

Los algoritmos de hash (formación de suma de comprobación) y cifrado del hash siguen las recomendaciones del estándar ETSI ETSI TS 119 312, que a su vez también sigue los estándares NIS. Estos algoritmos tienen ciertos supuestos sobre períodos de 1 a 6 años en los que son estables. Sin embargo, los desarrollos (por ejemplo, el descifrado de algoritmos) también pueden conducir rápidamente a cambios aquí. Swisscom Trust Services, por ejemplo, ahora está cambiando su CA raíz nuevamente para cumplir con los requisitos> 6 años. Se espera una nueva edición de la especificación nuevamente este otoño.

Por lo tanto, para la validación a largo plazo, es necesario garantizar periódicamente la integridad sobre la base de los algoritmos más recientes, por ejemplo, el sello de tiempo anual de todos los documentos o el uso de soluciones de archivo adecuadas. Palabra clave “preservación del valor probatorio” – ver DIN 31647: 2015-05.

De acuerdo con el reglamento eIDAS, los TSP deben estar acreditados a nivel nacional y seguir las leyes, normas y reglamentos nacionales establecidos por el Organismo de Supervisión nacional en la medida en que ningún otro reglamento a nivel de la UE haya establecido algunas reglas, como las decisiones de implementación de la comisión de la UE. , por ejemplo, para los estándares ADES o los niveles de seguridad del eID o algunas reglas del propio reglamento eIDAS. Por esto, cada país tiene diferentes estándares nacionales para sus TSP; por ejemplo, en Alemania, el BSI debe aprobar algunos aspectos, o en Francia, el instituto ANSII. En algunos países, por ejemplo, la identificación por video está totalmente permitida. En otros prohibido, y en terceros países, sólo permitido con certificados de corta duración.

Pero el reglamento de la UE eIDAS prevé que todas las firmas electrónicas calificadas de cualquier TSP acreditado a nivel nacional en cualquier país de la UE deben ser aceptadas por todos los miembros de la UE. Por lo tanto, un TSP acreditado en Francia puede vender su QES según las normas y reglamentos franceses en Alemania, y un TSP austriaco, como Swisscom, solo tiene que seguir las normas y reglamentos austriacos y puede vender sus firmas cualificadas en otros países de la UE. . La lista de confianza de la UE es el ancla estándar y confirma que se debe aceptar una firma calificada emitida por uno de los TSP enumerados allí.

Con la versión 2 de las regulaciones eIDAS, los países de la UE intentarán armonizar cada vez más las partes de la acreditación, por ejemplo, la forma de registrarse para un servicio, e incluso quieren crear una billetera electrónica de la UE como base para futuros identificación para cualquier servicio de confianza.

Puede encontrar preguntas frecuentes detalladas en el sitio web Mobile ID para solucionar problemas.

Eche un vistazo a las Preguntas frecuentes sobre Mobile ID , donde puede encontrar respuestas a muchas preguntas sobre Mobile ID.

Es posible elegir los siguientes idiomas en la identificación de SRS-Video: alemán, inglés, croata, francés y español. El parámetro de idioma debe agregarse a la solicitud. Ver la explicación en la guía de integración: ENLACE

Tenga en cuenta también el horario de servicio para francés (8:00-16:00 de lunes a viernes) y (14:00-21:00 de lunes a viernes) para español. El tiempo de espera puede ser de hasta 6 minutos para estos dos idiomas.

No, después de hacer clic en el botón, el proceso comienza de inmediato. Tampoco se trata en absoluto de si el agente de RA "quiere" completar el aprendizaje electrónico. Es más bien una cuestión de si usted, como el Agente de RA principal responsable, es de la opinión de que una mayor capacitación sería buena para el Agente de RA, ya que ha identificado lagunas de conocimiento.

En el Portal de administración, solo puede ver los usuarios que han sido identificados por sus "propios" agentes de RA con la RA App. Si no puede encontrar una persona identificada en su agencia de RA, entonces esta persona aún no está identificada para la firma electrónica o ha sido identificada por un agente de RA de otra agencia de RA, por ejemplo, en una tienda Swisscom o mediante una identificación de video.

Por razones de protección de datos, solo puede buscar usuarios en el portal de administración utilizando su número de teléfono móvil. Al buscar, debe ingresar el número de teléfono móvil de la persona que se almacenó durante su proceso de identificación.

No, no es posible obtener una lista de todos los usuarios de una agencia RA desde el Portal de administración por motivos de protección de datos.

Como agente maestro de RA, solo verá los agentes y usuarios de RA de la agencia de RA en la que está conectado actualmente. El nombre de la agencia RA se muestra en la parte superior derecha del Portal de administración. Por razones legales, las dos agencias de RA deben mantenerse separadas.

No hay un botón "Reenviar T&C" en la pestaña del menú de "Agentes RA". El botón "Reenviar T&C" solo existe en el elemento de menú "Usuario" para recordar al usuario que acepte los términos de uso de signing service.
Nota: El servicio RA envía automáticamente recordatorios a las personas identificadas para la aceptación de las condiciones de uso, cada 3 días, hasta un máximo de 5 SMS. Por lo tanto, una persona identificada tiene un total de 15 días para aceptar los términos de uso. Si no lo hace, el registro se elimina y la persona debe identificarse nuevamente.

En la lista de “Agentes RA” están las cajitas verdes con un enlace, por ejemplo:

Si hace clic en este cuadro, el enlace al aprendizaje electrónico o a las funciones se copia en su portapapeles y puede enviarlo al posible agente de RA, por ejemplo, por correo electrónico, chat, etc.
Sin embargo, el Servicio RA envía automáticamente SMS de recordatorio para el aprendizaje electrónico a los posibles agentes RA cada 3 días, hasta un máximo de 5 SMS. Si el posible agente RA no completa el aprendizaje electrónico y no ha aceptado las funciones dentro de los 15 días, el sistema elimina la asignación de funciones y usted, como agente maestro RA, debe repetirla.

Si. La fecha de la identificación ("fecha de creación") es relevante, ya sea que se muestre una entrada de usuario en el portal de administración.

Sólo podrá hacer clic en el botón “Registrarse como agente” cuando el usuario haya sido identificado, haya aceptado los términos de uso del signing service y exista al menos una barra verde en su entrada de usuario. El usuario debe tener el estado "Confirmado y firmado".

Si. Eso es posible.

No, todas las entradas y también las entradas en el Portal de administración no distinguen entre mayúsculas y minúsculas.

No es necesario retirar la autorización de un usuario para firmar electrónicamente (archivo), ya que el registro es personal y el usuario también puede utilizar su registro con otros portales de firma.
Si aún desea revocar la autorización del usuario, haga clic en el pequeño símbolo rojo del servidor junto a la entrada del usuario correspondiente; la entrada se archivará y el usuario ya no podrá firmar.

Sí, puede eliminar un agente RA haciendo clic en el botón "Eliminar agente" en la entrada del agente RA en el portal de administración.

Sí, las personas ajenas a la organización pueden registrarse para el QES en lasTiendas Swisscom seleccionadas. Como agente de RA, por supuesto, también puede registrar personas ajenas a la organización con la RA App. Sin embargo, como Agente principal de RA, no puede asignar la función de Agente de RA en su Agencia de RA a personas ajenas a la organización.

Opción 1: Registrar nuevamente a la persona en la RA App. Luego, esta persona aparecerá en el portal de administración de su agencia RA entre sus usuarios y podrá asignarles el rol de agente RA deseado.

Opción 2: La persona se registra a través de una videoidentificación o en la Tienda Swisscom y te lo informa. Luego, nos informa a través del formulario de contacto [enlace] que esta persona debe convertirse en un agente de RA en su agencia de RA (seleccione la opción: designar a un usuario "invisible" como agente de RA). Asegúrese de incluir el nombre y el número de teléfono móvil de esta persona. Luego, nos haremos cargo de la asignación de funciones y le daremos su opinión.

Como agente principal de RA, no puede asignar a la persona a otra agencia de RA usted mismo, pero podemos asignar a los usuarios el rol de "Agente principal de RA" en su agencia de RA. Para hacerlo, indíquenos el nombre y el número de teléfono móvil de este usuario a través de nuestro formulario de contacto [enlace] (seleccione la opción: designe al usuario "invisible" como agente de RA). Luego nos haremos cargo de la asignación de roles y le daremos su opinión.

Agentes RA estándar: pueden identificar y registrar personas para la firma electrónica con la RA App.

Agentes de RA maestros: también pueden iniciar sesión en el portal de administración y administrar los usuarios, los agentes de RA y los agentes de RA maestros de su propia agencia de RA. Además, los Agentes Master RA son el primer punto de contacto para sus Agentes Standard RA, si tienen alguna pregunta o problema. Los agentes de Master RA pueden contactarnos con preguntas y problemas a través del formulario de contacto [Enlace].

Tener dos agentes Master RA es muy útil. No es necesario que designe más Agentes RA Estándar, ya que los Agentes RA Maestros también pueden identificar a las personas con la RA App. Sin embargo, generalmente recomendamos una buena combinación de agentes de RA estándar y maestros en su agencia de RA.

Sí, esto es posible sin ningún problema. Para convertirse en Agente Master RA, la persona debe identificarse a través de la RA App. No importa a qué agencia RA pertenezca el agente RA que realiza la identificación.

Es solo que no verá la entrada de usuario de esta persona en sus propios usuarios en el portal de administración después. Por lo tanto, no puede asignar el rol de Agente principal de RA a esta persona usted mismo; Tendríamos que hacer esto por ti. Se puede realizar una notificación a través del formulario de contacto [enlace] (opción: designar a un usuario "invisible" como agente RA).

No, un Agente Master RA nunca puede asignar el rol de Agente RA en su Agencia RA a personas ajenas a la organización. Si lo desea, el cliente puede celebrar un contrato de agencia de RA por separado con Swisscom.

Como Agente Master RA, puede designar a empleados externos (por ejemplo, temporales) como Agentes RA estándar si dicho empleado trabaja en nombre de su organización y también tiene un contrato válido con su empresa u organización.

No olvide eliminar el rol "Agente RA" para este empleado externo si ya no trabaja para su organización.

Puede actuar en nombre de la empresa que tiene un contrato de agencia de RA válido con Swisscom y cuyo agente principal de RA lo ha designado como agente de RA. El requisito previo en cada caso es que tengan un contrato vigente con esta empresa, por ejemplo, un contrato de trabajo, temporal o fijo, un proyecto de asignación o similar. Si una persona trabaja para dos empresas, ambas empresas deben tener un contrato de agencia RA y esa persona debe tener un rol de agente RA en ambas agencias RA para que también puedan identificar personas para ambas agencias RA.

Tenga en cuenta: como agente de RA, puede identificar a las personas que desee, incluidas personas de empresas o individuos externos. Simplemente no está permitido tener agentes de RA que no sean de la empresa trabajando para una agencia de RA.

A menudo sucede que un agente RA informa al Agente RA maestro por su propia iniciativa porque no está seguro después, por ejemplo, porque ha "engañado" a la RA App. O usted, como agente maestro de RA, ve nombres en los datos de sus usuarios en el Portal de administración que no pueden ser correctos, por ejemplo, "Dtt" en lugar de "Ott", o "Alexan" en lugar de "Alexandra". En tales casos, la identificación debe repetirse y debe recordarle al agente de RA sus deberes, posiblemente incluso desencadenar un entrenamiento nuevamente.

Desafortunadamente, no existe un método confiable para detectar registros defectuosos, excepto la verificación concreta de las entradas de los usuarios en función de los documentos de identidad presentados durante la identificación. Sin embargo, nosotros en Swisscom o nuestros auditores solo llevamos a cabo dichas comprobaciones de forma aleatoria.

Tenemos algunos colegas y también socios en Alemania que realizan identificaciones con RA App. Por supuesto, sería más fácil utilizar el procedimiento de identificación por video, SRS Bank, SRS eID o SRS Selfie Ident para registrar personas en el área de la UE para QES. Lamentablemente, estas identificaciones no están permitidas para QES en Suiza, donde es obligatorio registrarse mediante la aplicación RA.

Puede encontrar más información en SRS Direct

Prueba lo siguiente:

• Reinicie su teléfono móvil: como todos sabemos, ¡un reinicio siempre es bueno para usted!
• Para usuarios de dispositivos móviles: pruebe su Mobile ID en mobileid.ch/login.

En las siguientes situaciones, necesita ser identificado nuevamente:
Tú tienes:

• Un nuevo número de móvil
• Una nueva tarjeta SIM
• Un nuevo teléfono móvil
• Cambiado a eSIM
• Activaste tu aplicación Mobile ID (SIM) o Mobile ID sin usar el código de recuperación.
• Cambió su método de autenticación, por ejemplo, de Mobile ID SIM a Mobile ID App o viceversa; del procedimiento de código SMS de contraseña a Mobile ID y viceversa.
• cambió su contraseña segura al usar el procedimiento de contraseña/código SMS
• Transferido su contrato de telefonía móvil, por ejemplo, también cambió de proveedor
• Obtuve un nuevo pasaporte o tarjeta de identificación porque el documento anterior estaba vencido.

Después de la reidentificación, también se le debe reasignar el rol de Agente de RA maestro, ya que hay una nueva entrada de usuario.

Para los usuarios de Suiza, el método SIM Mobile ID tiene prioridad sobre la aplicación Mobile ID. Le recomendamos que elija un método Mobile ID y desactive el otro. Puede desactivar el método Mobile ID respectivo en el panel Mobile ID: www.mobileid.ch/login

No recibirá ninguna notificación en el Portal de administración. Los usuarios reciben una notificación por SMS 3 meses y nuevamente 1 mes antes del vencimiento de su documento de identidad o pasaporte. Y como Agente Master RA, también eres un usuario.

Opción 1: no ha respondido todas las preguntas de conocimiento, por lo tanto, el aprendizaje electrónico aún no se ha completado. Responda todas las preguntas de conocimiento para llegar al vaso verde. Posteriormente recibirá otro SMS con el enlace a las funciones de los agentes de RA. Solo después de haber aceptado estos deberes, puede iniciar sesión en la RA App.

Opción 2: Tienes

• cambió o restableció su contraseña para el procedimiento de contraseña/código SMS
• activó el MobileID (SIM o aplicación) después de identificarse
• Reactivó MobileID o cambió el PIN móvil sin usar el código de recuperación Mobile ID.
• Recibió una nueva tarjeta SIM, eSIM, número de teléfono móvil o teléfono móvil, cambió su proveedor

Para cualquiera de estos eventos, Swisscom ya no puede garantizar que la misma persona esté en posesión del número de teléfono que fue validado durante la identificación por parte del agente RA. Por razones de seguridad, deberá volver a identificarse y pedirle a su Agente principal de RA que le reasigne la función de Agente de RA.

Tenga en cuenta: primero se debe eliminar el rol de agente de RA y luego reasignarlo por completo en el portal de administración.

Un posible agente de RA tiene 15 días para completar el aprendizaje electrónico básico para agentes de RA. Si el Agente RA no cumple con este plazo para completar el aprendizaje electrónico básico, la asignación de roles se elimina del sistema y el Agente RA maestro debe reasignar el rol de Agente RA.

Los agentes estándar de RA no tienen información sobre los usuarios que identifican.

También funciona sin. Para los usuarios y agentes de RA que no quieren o no pueden usar el Mobile ID, ofrecemos el método de contraseña – código SMS como método de autenticación. Usted configura este procedimiento después de la identificación al aceptar los términos de uso de signing service.

Si ocurre un incidente de seguridad, Swisscom analiza qué sucedió exactamente. Luego, Swisscom realiza una evaluación del impacto y del riesgo para sus servicios y las personas afectadas. Tras esta evaluación, se derivan medidas para remediar el incidente de seguridad y evitar incidentes similares. Los clientes afectados son notificados y sensibilizados cuando se implementan determinadas medidas y les son aplicables.

Ejemplo:

Un cliente ha designado a personas ajenas a la organización como agentes de RA en su agencia de RA. Swisscom se ha dado cuenta de esto y ha abierto un incidente de seguridad, ya que esto no está permitido debido a los requisitos de cumplimiento. La valoración y evaluación de Swisscom mostró que se trataba de un incidente de seguridad (incidente menor) para el servicio. Swisscom luego concientizó al cliente sobre este problema y le pidió que eliminara el rol de agente de RA de todo el personal que no pertenece a la organización. Además, Swisscom ha agudizado el tema en los documentos de formación.

Una vez que los agentes de RA se “depositan” en la agencia, el nombre de la agencia de RA ya no se puede ajustar. Si se cambia el nombre de la empresa, tenemos que crear una nueva agencia de RA y se debe reconstruir la red de agentes de RA.

Esto depende de qué términos de uso haya aceptado una persona después del registro. En principio, recomendamos que los clientes acepten ambos términos de uso del signing service para las áreas legales de Suiza (de acuerdo con la Ley Federal ZertES) y la UE/EEE (de acuerdo con el Reglamento eIDAS) para que mantengan todas sus opciones. abierto.

Y luego depende de qué aplicación de firma de nuestros socios quiera usar la persona para su firma electrónica.

Te recomendamos aplicar primero la firma manuscrita, luego escanear el documento (como PDF) y finalmente aplicar la firma electrónica.

No obstante, conviene aclarar de antemano si esto también es aceptado por los servicios jurídicos de las partes implicadas. Es importante conservar ambas versiones (la de la firma manuscrita y la versión electrónica) posteriormente.

“Advanced” y “Qualified” son expresiones de las leyes de firma y designan la “calidad” o valor probatorio de las firmas electrónicas y certificados digitales.

Las firmas electrónicas cualificadas son las de mayor calidad y son equivalentes a las firmas manuscritas según la ley. Para la identificación de este nivel, así como para la creación de firmas electrónicas y los certificados digitales subyacentes, existen reglas estrictas, instrucciones detalladas para el diseño de la firma y altos requisitos que cumple Swisscom. También estamos certificados en este sentido.

Las firmas electrónicas avanzadas no son de tan alta calidad y tampoco están reguladas por ley. Solo se permiten como prueba en los tribunales, luego deben verificarse durante los procedimientos judiciales, por ejemplo, y el tribunal debe evaluar el efecto de la firma después de un análisis preciso. Sin embargo, existen normativas del ETSI (European Standards Institute) que admiten firmas avanzadas en varias calidades (LCP, NCP, NCP+) incluso para este nivel. Swisscom cumple con el más alto estándar "NCP+" y, por lo tanto, también está auditado. Swisscom también aparece con una marca verde en la Lista de confianza de Adobe. Tal auditoría puede entonces ayudar como evidencia importante en una evaluación de la evidencia.

Esto significa que con la firma calificada siempre está en el lado seguro. Por lo tanto, depende del caso específico y del riesgo asociado si uno renuncia a un QES. También en el pasado, los contratos se concluían con un apretón de manos (posiblemente con testigos) o simplemente con un intercambio de correos electrónicos, donde uno estaba seguro de que estos contratos difícilmente se tratarían en los tribunales. Del mismo modo, aquí se debe realizar una evaluación a favor o en contra de un QES.