Servicios de custodia longeva

Terceros de Confianza

La Ley 34/2002, de 11 de julio de Servicios de la Sociedad de la Información y de Comercio Electrónico incorporó al ordenamiento jurídico español la Directiva 2000/31/CE, de 8 de junio del parlamento Europeo y del Consejo, relativa a determinados aspectos de los servicios de la sociedad de la información y en particular del comercio electrónico.

Uno de los aspectos más relevantes de la Ley es la regulación de la contratación por vía electrónica afirmándose la equivalencia entre los contratos en soporte papel y los contratos electrónicos. En el artículo 25 introduce la figura de los terceros de confianza, concepto que podría ser utilizado por las partes de un contrato para archivar en soporte informático por un plazo mínimo de 5 años, las declaraciones de voluntad de las partes consignando la fecha y hora en que dichas declaraciones tuvieron lugar y siendo el documento electrónico admisible en juicio como prueba documental.

Es importante entender que este tipo de tercero de confianza no es autoridad de certificación de firma electrónica, no otorga fe pública como un notario, ni confiere al documento carácter de instrumento público: solo certifican y archivan el contenido de las compras, transacciones y contratos electrónicos o bien certifican la identidad de las partes bajo determinados grados de validez.

Las pruebas electrónicas gestionadas por los Terceros de Confianza basan su garantía jurídica en diferentes servicios provistos por Prestadores de Servicios de Certificación:
La identidad, autenticidad, integridad y no repudio de las operaciones se garantiza con el uso de la firma electrónica por medio de un certificado reconocido emitido por una Autoridad de Certificación. La validez a lo largo del tiempo de los documentos está garantizada a través del sellado de las pruebas electrónicas mediante el servicio provisto por una Autoridad de Sellado de Tiempo. De esta manera, la validez jurídica de una prueba electrónica se sustancia en mayor medida en la confianza prestada por organismos ajenos que en el servicio provisto por el Tercero de Confianza.

El servicio básico que presta un Tercero de Confianza es la garantía de que el usuario podrá recuperar la información almacenada en sus sistemas a lo largo del plazo de tiempo contratado, por ejemplo 5 años, conservándose en cualquier momento la integridad electrónica de esa información. A este concepto se le viene denominando en el sector evidencia electrónica o pruebas electrónicas encadenadas e incluye las operaciones criptográficas necesarias para preservar un elemento electrónico de entrega que pueda ser verificado por un organismo independiente (por ejemplo un juez o un perito judicial).

La tecnología

La custodia longeva de evidencias electrónicas se basa en la implementación de la recomendación denominada LTANS, que ha sido impulsada por la IETF y que cuenta con fuerte arraigo en países como Francia o Alemania. Esta recomendación define los mecanismos para el encadenamiento de pruebas electrónicas, los procesos de resellado y la sintaxis de intercambio de evidencias electrónicas.

Servicios de custodia reconocidos

En la actualidad existen 3 servicios de custodia reconocidos en España:

  • iARXIU de CatCert
  • Los Servicios de Custodia de Documentos de la FNMT
  • El Servicio de Archivado de Larga Duración de Tractis

En mi opinión, este hecho no indica que el resto de alternativas que proveen servicios como Terceros de Confianza no aporten las mismas garantías legales, ya que como se ha explicado con anterioridad la validez jurídica está sustentada en gran medida por las Autoridades de Certificación y las Autoridades de Sellado de Tiempo. No obstante, es necesario conocer la calidad de los servicios que ofrecen antes de comenzar a confiar la custodia de las evidencias electrónicas de la compañía a sus sistemas.

La identidad

Uno de los aspectos menos desarrollados para este tipo de servicios es el aseguramiento de la identidad de los intervinientes. De hecho, es posible acceder a ellos utilizando únicamente un nombre de usuario y una contraseña, lo que debilita en gran medida la solidez electrónica de las pruebas generadas.

Existen diferentes criterios para establecer el nivel de confianza en la identidad electrónica de un usuario. Uno de los más conocidos es el Guía para Autenticación Electrónica del NIST, que define 4 niveles de confianza para acreditar la identidad. Sin embargo, no existe ninguna normativa en el ámbito español que lo contemple de manera explícita. Se puede encontrar alguna referencia en la guía CCN-STIC-807, que indica en relación a la  autenticación

Para el nivel alto, los mecanismos de autenticación se basarán en dispositivos físicos personalizados o mediante dispositivos que hagan uso de patrones biométricos.

Por otro lado, la identificación por doble canal y doble factor (por ejemplo, para el uso de un código recibido por SMS junto con el número de DNI en una página web se requiere poseer el teléfono móvil y conocer un dato personal) comienza a ser un mecanismo de uso habitual en organismos e instituciones, aunque tampoco se encuentra recogida en ninguna normativa de aplicación nacional.

Parece lógico pensar que el máximo valor probatorio de una identificación electrónica se sustenta en la utilización de doble canal y tres factores (conocimiento, posesión y esencia). Por lo que la aplicación de la biometría resulta un elemento esencial para alcanzar este nivel de confianza.

Conclusiones

La creciente adopción de tecnologías en la nube, de la mano del modelo de pago por uso, plantea al mercado alternativas de utilización de la tecnología de firma electrónica que requieren un elevado grado de conocimiento por parte del usuario para entender lo que está adquiriendo.

Para evaluar un sistema de custodia longeva de evidencias electrónicas es necesario identificar tanto las capacidades tecnológicas de preservación de documentos electrónicos como los métodos de identificación provistos, ya que la validez legal de una prueba electrónica depende en gran medida del nivel de confianza que aporte esa identificación electrónica.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s