LOS RETOS JURÍDICOS DE LA E-ADMINISTRACIÓN El desarrollo ... · Los retos jurídicos de la...

Los retos jurídicos de la e-Administración - Desarrollo tecnológico de la Ley 11/2007 1

LOS RETOS JURÍDICOS DE LA

E-ADMINISTRACIÓN

El desarrollo tecnológico

de la Ley 11/2007

Daniel Sánchez Martínez [email protected]

Universidad de Murcia

SICARM 2008 (Murcia), 21 de mayo de 2008

mailto:[email protected]


Índice de contenidos

Interoperabilidad– Estándares tecnológicos

– Formatos abiertos

– Plataformas de validación

Identificación y autenticación– De los ciudadanos

– Del personal de las Administraciones Públicas

– De las Administraciones Públicas• Sede electrónica y sello electrónico

Copias electrónicas

Archivo electrónico

El futuro

Interoperabilidad

Artículo 4. Principios generales.– “Principio de cooperación en la utilización de medios electrónicos por

las Administraciones Públicas…”.

Artículo 6. Derechos de los ciudadanos.– “A no aportar los datos y documentos que obren en poder de las

Administraciones Públicas…”.

Artículo 9. Transmisiones de datos entre Administraciones Públicas.– “Cada Administración deberá facilitar el acceso de las restantes

Administraciones Públicas a datos…”

Artículo 41. Interoperabilidad de los Sistemas de Información.– “Las Administraciones Públicas utilizarán las tecnologías de la

información …, aplicando medidas informáticas … que garanticen un adecuado nivel de interoperabilidad técnica, semántica y organizativa…”.

Artículo 43. Red de comunicaciones de las Administraciones Públicas españolas.– “… incorporarán las tecnologías precisas para posibilitar la

interconexión …”.


Interoperabilidad

Estándares tecnológicos

– Web – SOAP – XML


Plataforma eAdministración

Procedimiento

Universidad de Murcia

Firmantes

Certificado Padrón

Ppito Pérez

Empadronado en Ca.

17/11/2006

Plataformade servicios

Entidad externa

Túnel encriptado

Certificado Padrón

Ppito Pérez

Empadronado en Ca.

17/11/2006

Interoperabilidad

Formatos abiertos

– Firma electrónica• Especificación ETSI XAdES (firma electrónica

avanzada XML).

• Elección de perfiles en función del nivel de protección.

• Definición de políticas comunes de generación y verificación de firmas electrónicas.

– Documento electrónico• Facturae facturación electrónica.

• Sustitución de certificados en papel


Interoperabilidad

Plataformas de validación de certificados

– Artículo 21-1. “Los certificados electrónicos

reconocidos … serán admitidos por las

Administraciones Públicas como válidos …

siempre y cuando el prestador ponga a

disposición la información precisa en condiciones

… viables y sin costo alguno… “.

– Artículo 21-3. “La Administración General del

Estado dispondrá de una plataforma de

verificación del estado de revocación de todos los

certificados… de libre acceso … “.


Interoperabilidad

Plataformas de validación de certificados– Terceras partes confiables

(TTP) que ofertan servicios de valor añadido.

• Interpretación de certificados

• Validación de certificados

– Iniciativas públicas y privadas.

– Ejemplo: @firma del MAP

– ¿Es informado el ciudadano sobre si se realiza un tratamiento de sus datos personales?

7

CRLsOCSP Responder

CA 1 CA 2 CA 3

conexión

onlineconexión

online

descarga

periódica

SCVP Responder

Plataforma de validación

de certificados

…CA n

?

Administración

General del Estado

Administración

Regional

Administración

Local

Interoperabilidad

Log de uso de

la plataforma

Repositorio de

certificados

8

http://www.avradio.com/images/log500.jpg

Identificación y autenticación de

los ciudadanos

Artículo 13-1. “Las Administraciones Públicas admitirán … sistemas de firma electrónica conformes a la Ley 59/2003 … adecuados para garantizar la identificación de los participantes y, en su caso, la autenticidad e integridad de los documentos electrónicos”.

Artículo 13-2. “Los ciudadanos podrán utilizar los siguientes sistemas de firma electrónica…a) El Documento Nacional de Identidad.b) Sistemas de firma electrónica avanzada.c) Otros sistemas, como la utilización de claves concertadas en un registro previo.”



los ciudadanos

Tecnologías utilizadas– Autenticación fuerte basada en criptografía asimétrica.

Utilización de certificados X.509 (“algo que se tiene y algo que se sabe”).

– Autenticación débil basada en contraseñas (“sólo algo que se sabe”).

Problemática– Posibles discrepancias entre las formas de identificación de

cada Administración.

– Es necesario determinar para qué es válido cada tipo de certificado. ¿Quién debe hacerlo?

– Las plataformas de validación deberían devolver un nivel de confianza.

– Problemas de interoperabilidad.

– La utilización de claves concertadas no se corresponde con un proceso de firma electrónica desde el punto de vista tecnológico.

• No permite garantizar la autenticidad e integridad de los documentos.


Identificación y autenticación del

personal de las Administraciones

Artículo 19. “Cada Administración podrá proveer a su personal de sistemas de firma electrónica, los cuáles podrán identificar de forma conjunta al titular del puesto de trabajo y a la Administración”.

Tecnología utilizada

– Certificados X.509 con extensiones o atributos.

Surgen algunas cuestiones…

– ¿Son realmente necesarios?

– ¿Llegamos a este nivel de exigencia con la firma manuscrita?


Identificación y autenticación del

personal de las Administraciones

Ventajas– El propio certificado incluye información sobre el cargo de esa

persona.

– Puede fomentar la interoperabilidad entre las Administraciones.

– Fomenta el mercado de los servicios de certificación.

Inconvenientes– Complejidad adicional en los procesos de registro y revocación.

Se multiplica la frecuencia.

– Posible desembolso adicional para las Administraciones.

– Inviable en mecanismos de identificación en contraseñas.

Alternativa tecnológica– Comprobación on-line del cargo administrativo a través de

servicios centralizados de las Administraciones.

– Comprobación on-line a través de Registros Públicos de capacidades.

• Tickets de autorización SAML en entornos distribuidos.



las Administraciones

Artículo 17. “Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente”.

Tecnologías utilizadas.

– Certificados X.509 de dispositivo seguro.

– Claves privadas generadas y almacenadas en módulos de seguridad HSM.



las Administraciones

Artículo 18. “Para la identificación y la autenticación del ejercicio de la competencia de la actuación administrativa automatizada, cada Administración Pública …a) Sello electrónico … basado en certificado electrónico …b) Código seguro de verificación … comprobación de la integridad mediante el acceso a la sede electrónica …”

Tecnología utilizada.– Certificados X.509 de dispositivo seguro.

– Claves privadas generadas y almacenadas en módulos de seguridad HSM.

Problemática– Interoperabilidad de los sellos electrónicos.



Artículo 30. “Las copias realizadas por medios electrónicos de documentos electrónicos emitidas por las Administraciones Públicas, manteniéndose o no el formato original, tendrán inmediatamente la consideración de copias auténticas … siempre que el documento electrónico original se encuentre en poder de la Administración, y que la información de firma electrónica y, en su caso de sellado de tiempo permitan comprobar la coincidencia con dicho documento.”“Las copias realizadas en soporte papel … tendrán la consideración de copias auténticas siempre que incluyan la impresión de un código generado electrónicamente … que permita contrastar su autenticidad mediante el acceso a los archivos electrónicos…”.

Artículo 35. “Los interesados podrán aportar al expediente copias digitalizadas de los documentos, cuya fidelidad garantizarán mediante firma electrónica avanzada”.

Problemática– ¿Existe una diferenciación tecnológica entre original y copia?

– Una copia en papel, ¿cómo garantiza el no repudio?



Tecnología utilizada.– Transformaciones documentales (XSLT).

• El ciudadano firma un documento XML y recibe una copia PDF imprimible del mismo.

– Códigos de identificación unívocos.• Alfanuméricos, códigos de barras, nubes de puntos.



Artículo 31. “Los medios en los que se almacenen documentos, deberán contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación …”.

Problemática

– Preservación a largo plazo.• Las firmas electrónicas dejan de ser fiables.

• Los formatos documentales dejan de ser legibles.



– Tecnología utilizada.• Preservación de las firmas electrónicas.

– ¿Y si caducan o revocan los certificados? sello de tiempo y archivado de respuestas de validación (CRLs, OCSP, etc…).

– ¿Y si desaparece el prestador? archivado y sellado de toda la cadena de certificación.

– ¿Y si la criptografía utilizada se vuelve débil? procesos de re-sellado con nuevos algoritmos y longitudes de clave.

– Estándares

» ETSI XADES – A (formato de firma avanzada)

» IETF LTANS (arquitectura para servicios de notaría)

• Preservación de la accesibilidad documental.– Apuesta por los formatos abiertos (XML).

– Procesos de transformación entre formatos.


El futuro

Desarrollo reglamentario

– Esquema Nacional de Interoperabilidad y Seguridad.

Cuestiones tecnológicas abiertas

– Apertura de la especificación del DNIe.

– Confianza del ciudadano.

– Interoperabilidad a nivel europeo.

Nos encontramos en un contexto político-tecnológico-normativo propicio, en el que fomentar la participación de los ciudadanos y la transparencia de las instituciones.


20

Gracias por su atención

PREGUNTAS

Daniel Sánchez Martínez <[email protected]>

Los retos jurídicos de la e-Administración - Desarrollo tecnológico de la Ley 11/2007

LOS RETOS JURÍDICOS DE LA E-ADMINISTRACIÓN El desarrollo ... · Los retos jurídicos de la...

Documents

Transcript of LOS RETOS JURÍDICOS DE LA E-ADMINISTRACIÓN El desarrollo ... · Los retos jurídicos de la...