la autenticación y firma electrónica

Plataforma de Identificación,
Autenticación y Firma
Objetivos del proyecto
 Infraestructura para todas las Administraciones Públicas cuyo
objetivo es proporcionar medios comunes para la
autenticación y firma electrónica de los ciudadanos en los
procedimientos de administración electrónica.
 Facilidad de uso para el ciudadano y homogeneidad en su
relación con las Administraciones Públicas
 Máxima seguridad en los sistemas de control de acceso y en la
protección de las claves de firma de los ciudadanos.
UE
 Acorde con los estándares internacionales.
La identidad digital en la normativa
Hasta muy recientemente en la normativa el concepto de identidad digital y
autenticación estaba muy ligado al concepto de firma electrónica: La Ley
59/2003
Artículo 3 Firma electrónica, y documentos firmados electrónicamente
1. La firma electrónica es el conjunto de datos en forma electrónica,
consignados junto a otros o asociados con ellos, que pueden ser
utilizados como medio de identificación del firmante.
La identificación y
la expresión de la voluntad
La identificación y
la expresión de la voluntad
IDENTIFICACIÓN
Básica
Ley 59/2003, artículo 3.1
Ley 11/2007, artículo 13.2.c
RD 1671/2009, artículo 11
EXPRESIÓN DE LA VOLUNTAD - FIRMA
Básica
Ley 59/2003, artículo 3.1
Ley 11/2007, artículo 16.2
RD 1671/2009, artículo 11
Reforzada Ley 59/2003, artículo 3.1
Ley 11/2007, artículo 13.2.c
RD 1671/2009, artículo 11
Avanzada
Ley 59/2003, artículo 3.2
Ley 11/2007, artículo 15
RD 1671/2009, artículo 10.1
Fuerte
Reconocida Ley 59/2003, artículo 3.3
Ley 11/2007, artículo 14
RD 1671/2009, artículo 10.1
Ley 59/2003, artículo 3.2 y 3.3
RD 1671/2009, artículo 10.1
El nuevo reglamento de la UE (910/2014) separa la
identificación electrónica de los servicios de confianza entre
los que se incluye la firma electrónica como expresión de la
voluntad
La plataforma de Identificación,
Autenticación y Firma
Cada organismo podrá establecer los mecanismos admitidos de Identificación, Autenticación
y Firma para sus trámites
IDENTIFICACIÓN
Y
AUTENTICACIÓN
FIRMA
•Básica. Usuario y contraseña o PIN24H, con un registro telemático a partir datos
conocidos por el ciudadano y la Agencia Tributaria,
•Reforzada. PIN24H o Contraseña más un OTP. El registro debe haberse realizado
presencialmente o con un certificado electrónico cualificado
•Fuerte. Certificado electrónico cualificado software o emitido en tarjeta
criptográfica
•Firma electrónica Básica. Una vez identificado y autenticado el ciudadano por
cualquiera de los sistemas de identificación y autenticación posibles el organismo
podrá realizar firmas electrónicas distintas de la criptográfica, basadas en el
almacenamiento seguro tanto de la identidad, verificada en el proceso de
autenticación, como de los datos enviados por el ciudadano. Se trata de soluciones
particulares de cada organismo y no soportadas dentro de la plataforma única de
Identificación, Autenticación y Firma.
•Firma electrónica Avanzada. Con certificado electrónico software reconocido o DNI
en la nube (sólo se puede utilizar una vez identificado con contraseña y OTP)
•Firma electrónica Cualificada. Certificado electrónico cualificado en tarjeta
criptográfica, DNIe y en el futuro podría utilizar el DNI en la Nube (sólo se puede
utilizar una vez identificado con contraseña y OTP)
Cobertura para el uso de la Plataforma
ACUERDO DEL CONSEJO DE MINISTROS DE 19/9/2014
DA COBERTURA PARA EL USO POR
OTROS ORGANISMOS DE LA PLATAFORMA
• Cobertura a las Oficinas de Registro en otros Organismos que
utilicen el Servicio de Registro, evitando la firma de convenios
bilaterales
• Cobertura para utilizar los sistemas de identificación,
autenticación y firma que forman la plataforma única
REGISTRO
Registro. Censo único
Objetivo: Construir un Censo Único de ciudadanos que les permita
relacionarse electrónicamente con las Administraciones Públicas. Este
Censo se apoyará en una aplicación de Registro que podrá ser
utilizada por otros organismos para registrar ciudadanos.
Para cumplir este objetivo:
•
•
•
El Censo debe recoger el teléfono móvil que facilitará el ciudadano, así como otros datos de contraste
necesarios para gestionar los sistemas de Autenticación y Firma.
El Censo debe identificar la calidad del registro para que los organismos puedan decidir en qué
trámites se puede utilizar cada sistema de Autenticación y Firma.
En el momento del Registro el ciudadano debe firmar un documento de aceptación, donde se le
informará de las condiciones de uso de esta plataforma.
Vías de Registro para
autenticación reforzada y fuerte
• Registro presencial en Oficinas de los
Organismos que realicen la función de
Oficina de Registro
• Telemáticamente utilizando un
certificado electrónico reconocido
Registro presencial de ciudadanos
1
EL usuario
se registra
presencial mente
en una oficina
De Registro
2
4
Archivado
de Acepto y
copia autentica
Entrega
Código
Activación
(PUK)
AEAT
REGISTRO
USUARIOS
Oficinas de Registro
VISIO CORPORATION
$
3 Se transfieren los
datos de registro
CENSO PERSONAS
REGISTRADAS
Documentos que genera la aplicación
DECLARO lorem Ipsum dolor sit amet, consectetuer
adispiscing elit. Aenean non quam sit amet neque
imperdiet iaculis. Sed vel mauris ac libero euismod
sollicitudin. Cras eget nulla.
CONSIENTO Lorem Ipsum dolor sit amet,
consectetuer adispiscing elit. Aenean non quam
sit amet neque imperdiet iaculis. Sed vel mauris
ac libero euismod sollicitudin. Cras eget nulla.
lorem Ipsum dolor sit amet, consectetuer
adispiscing elit. Aenean non quam sit amet neque
imperdiet iaculis. Sed vel mauris ac libero euismod
sollicitudin. Cras eget nulla.
39426971
AUTORIZO Lorem Ipsum dolor sit amet,
consectetuer adispiscing elit. Aenean non quam
sit amet neque imperdiet iaculis. Sed vel mauris
ac libero euismod sollicitudin. Cras eget nulla.
Firma del Ciudadano y Fecha
En cumplimiento de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, le
informamos que sus datos personales serán incorporados a un
fichero …
Ejemplar para el Interesado / Registro
Ejemplar para el Interesado
Identificación y Autenticación
Esquema general
Comunicación mediante
redirecciones del navegador
(aserciones SAML)
STORK
Intermediador de
eID extranjeros
Servicio de eAdmon
Gestor de
identidades –
Cl@ve
AEAT
GISS
Proveedor del
servicio (SP)
@firma
Intermediador de
DNIe y certificados
Proveedores de
identidad (IdP)
Comunicación
mediante
redirecciones
del navegador
(aserciones
SAML)
Niveles de identificación
• Niveles de aseguramiento de la calidad de la autenticación, en
base a:
– Como se verifica la identidad de la persona antes de darle el mecanismo de
identificación. Requiere registro fiable.
– Aspectos técnicos de los medios de autenticación…
• El proveedor del servicio define el nivel de calidad en la
autenticación que requiere para su servicio
• Recogidos en el Reglamento Europeo eIDAS:
– Básico
– Sustancial
– Alto
• Obligatoriedad de reconocimiento de credenciales extranjeras con
nivel mayor o igual al requerido para las nacionales
Niveles de identificación
• Niveles influidos por el proceso de registro:
– Presencial
– Con certificado reconocido
– No presencial
• Ejemplos basados en el QAA de STORK
– Alto: Certificados electrónicos (contienen
los datos de identidad). Nivel alto
– Sustancial: Usuario/contraseña + doble factor
(clave de un solo uso/tarjeta coordenadas)
– Básico: Usuario/contraseña
Integración de cl@ve en las Sedes
Electrónicas
Acceso con
Aspecto del intermediador
PIN24H
CONTRASEÑA
CERTIFICADO
ELECTRÓNICO
SOY CIUDADANO
EUROPEO
Impacto de los niveles de calidad
El proveedor del servicio
exige nivel de calidad Alto
(STORK QAA 4) y no usar
credenciales extranjeras
Servicio de eAdmon
Gestor de
identidades –
Cl@ve
Acreditación de identidad
PIN24H
CONTRASEÑA
CERTIFICADO
ELECTRÓNICO
SOY CIUDADANO
EUROPEO
Proveedor del
servicio (SP)
Esta opción de
identificación no está
disponible para este
servicio
Impacto de los niveles de calidad
El proveedor del servicio exige nivel
de calidad baja (STORK QAA 2) sin
limitaciones en el tipo de proveedor
Servicio de eAdmon
Gestor de
identidades –
Cl@ve
Acreditación de identidad
PIN24H
CONTRASEÑA
CERTIFICADO
ELECTRÓNICO
SOY CIUDADANO
EUROPEO
Proveedor del
servicio (SP)
El ciudadano se autentica,
por ejemplo, con un PIN24H
(STORK QAA 2)
AEAT
Todas las opciones
aparecen como
habilitadas
Ejemplos de uso de Cl@ve
EJEMPLOS DE USO DE CL@VE
POR OTROS ORGANISMOS
PARA IDENTIFICAR Y
AUTENTICAR PERSONAS EN
SUS SEDES ELECTRÓNICAS
Ejemplos de uso de Cl@ve
Acceso de Terceros al IDP
de la Agencia Tributaria
Ejemplos de uso de Cl@ve
Obtención de un PIN24H
Caso de uso
Ejemplo Obtención de un PIN24H
0. Para poder utilizar el PIN24H el ciudadano tiene que haber obtenido un PIN24H. Este paso
lo podrá realizar en el momento de la autenticación o lo puede haber obtenido en cualquier
momento previo a utilizarlo.
Ejemplos de uso de Cl@ve
Uso del PIN24H para el acceso
a un proveedor de servicios
Caso de uso
Ejemplo de control de acceso con PIN24H
Acceso con
El ciudadano selecciona
cl@ve para identificarse
en la Sede Electrónica
1. El ciudadano solicita acceso en la página Web de Muface (Proveedor del Servicio)
solicitando Acceso con Autenticación
Ejemplo de control de acceso con PIN24H
Si el ciudadano
selecciona PIN24H
2. Muface redirige la petición al Intermediador (Cl@ve), que le ofrece los sistemas de
identificación y autenticación que puede utilizar para identificarse y autenticarse
Ejemplo de control de acceso con PIN24H
Si el ciudadano ya tiene un PIN24H
puede autenticarse directamente
3. El ciudadano selecciona el proveedor de identidad (PIN24H) que quiere utilizar
Ejemplo de control de acceso con PIN24H
Usuario autenticado
4. Si la validación del PIN24H es correcta el ciudadano es redirigido a la Sede de Muface
(proveedor de servicios) autenticado y con acceso al servicio solicitado
Ejemplos de uso de Cl@ve
Acceso de Terceros al IDP
de la Seguridad Social
Acceso con usuario y Contraseña
Ejemplo: activación de usuario
Activación de usuario registrado
Caso de uso
Las pantallas que se muestran son solo a ejemplo ilustrativo y pueden no ser las definitivas
Activación de Usuario
Verificación de usuario
0. El usuario se ha registrado previamente de manera presencial o con certificado digital
Activación de Usuario
Autenticación de usuario
1. Se recibe un SMS con un código de un solo uso en el teléfono móvil
Activación de Usuario
Establecimiento de contraseña
1. El usuario establece su contraseña según las políticas de seguridad establecidas.
Ejemplo de acceso con usuario y contraseña
Acceso a Servicio que requiere Autenticación
Básica (usuario + contraseña)
Caso de uso
Las pantallas que se muestran son solo a ejemplo ilustrativo y pueden no ser las definitivas
Servicio con Autenticación Básica
Selección del Servicio
Ejemplo de aplicación
El ciudadano selecciona
cl@ve para identificarse en
la Sede Electrónica
Servicio con Autenticación Básica
Selección del sistema de autenticación
1. El proveedor de servicios redirige la petición a Cl@ve, que le ofrece los sistemas de
identificación y autenticación que puede utilizar para identificarse y autenticarse
Si el ciudadano
selecciona acceso con
usuario y contraseña
Servicio con Autenticación Básica
Autenticación Interfaz
2. Se redirecciona al usuario al IdP de la Seguridad Social, que le solicita los datos de
autenticación
Servicio con Autenticación Básica
Acceso al Servicio
3. Si la validación es correcta, el ciudadano es redirigido a la Sede del proveedor de
servicios donde se le dá acceso al servicio solicitado
Acceso con usuario, contraseña y SMS
Acceso a Servicio que Requiere Autenticación
Fuerte (usuario + contraseña + SMS)
Caso de uso
Las pantallas que se muestran son solo a ejemplo ilustrativo y pueden no ser las definitivas
Servicio con Autenticación Fuerte
Selección del Servicio
Ejemplo de Aplicación
El ciudadano selecciona
cl@ve para identificarse en
la Sede Electrónica
Servicio con Autenticación Fuerte
Selección del sistema de autenticación
1. El proveedor de servicios redirige la petición a Cl@ve, que le ofrece los sistemas de
identificación y autenticación que puede utilizar para identificarse y autenticarse
PIN24H
CONTRASEÑA
Y SMS
Si el ciudadano selecciona
acceso con usuario y
contraseña + SMS
Servicio con Autenticación Básica
Autenticación Interfaz
2. Se redirecciona al usuario al IdP de la Seguridad Social, que le solicita los datos de
autenticación
Servicio con Autenticación Fuerte
Autenticación - Interfaz
3. Se envía al usuario por SMS un código de un solo uso que deberá introducir
Servicio con Autenticación Fuerte
Acceso al servicio
4. Si la validación es correcta, el ciudadano es redirigido a la Sede del proveedor de
servicios donde se le dá acceso al servicio solicitado
Muchas gracias