El sellado de tiempo o timestamping es un mecanismo en línea que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante específico en el tiempo. Este protocolo se describe en el RFC 3161 y está en el registro de estándares de Internet.
Una autoridad de sellado de tiempo actúa como tercera parte de confianza testificando la existencia de dichos datos electrónicos en una fecha y hora concretos.
Los Terceros de Confianza
Tienen su origen en la figura del Trusted Three Party o Tercera parte confiable. En la regulación jurídica actual, se fundamenta en la LSSI por la que, un Tercero archivará las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora, durante el tiempo mínimo de 5 años.
No todos los Proveedores de Servicios de Certificación son Terceros de Confianza, por ejemplo eGarante nunca conserva o custodia los documentos que certifica. Deriva la responsabilidad al propio usuario que requirió de sus servicios de TimeStamp.
Prestador de Servicios de Certificación y Time Stamp
Son prestadores de servicios de certificación los que salen en la página web del Ministerio de Industria y que, tras pasar lo que se denomina una I.T.V. de sistema criptográfico, son validados para emitir Sellos de Time Stamp.
Actualmente son Prestadores de Servicios de Certificación con TimeStamp Autorizados
Modelos de negocio de los prestadores de Servicios de Certificación
a.Modelos de negocio ORIGINALES: Los Prestadores de Servicios de Certificación que están autorizados por el Ministerio de Industria, son titulares de lo que se entiende en el Sector como “Sellos buenos” u originales.
Estos Prestadores de Servicios de certificación son públicos y privados, desarrollando su modelo de negocio proveyendo a los diferentes sectores económicos e institucionales.
Son originales los servicios de Camerfirma, Firmaprofesional, ANF, ColorIURIS, EADTrust, entre otros.
b. Modelos de negocio de MARCA BLANCA: Existen diferentes Prestadores de Servicios de Certificación que ofrecen productos y servicios utilizando los Sellos de los Prestadores de Servicios autorizados por el Ministerio de Industria. Son lo que se denominan marcas blancas. Compran Sellos “originales” y crean su modelo de negocio.
Tenemos el ejemplo de Lleida.net que, siendo una operadora de Telecomunicaciones utilizan sellos de FNMT, Camerfirma y Firmaprofesional para diferentes tipos de productos.
Eevid.com utiliza sellos de FNMT, eGarante utiliza sellos de Firmaprofesional, y así los diferentes modelos de negocio que han partido o nacido desde los originales Prestadores de Servicios de Certificación.
Una gran Novedad en el mercado de la Certificación Digital es el modelo de negocio desarrollado por EADTrust que, desde su producto autorizado por el Ministerio de Industria, ha creado su propia “marca blanca” para uno de sus productos: Noticeman.net Su propietario, Julián Inza, señala que el desarrollo de esta marca blanca derivada de su propia marca original, se debe a que “no todos los usuarios quieren todos los productos ofrecidos por EADTrust, por eso vendemos un producto únicamente relacionado con el e-mail”.
TimeStamp: ¿Sellos buenos? ¿Sellos malos?
Hay Prestadores de Servicios de Certificación que basan su modelo de negocio en la convicción de que utilizan “sellos buenos” o “sellos originales”, es decir, son Prestadores de Servicios de Certificación que están autorizados por el Ministerio de Industria para generar sus propios Sellos de TimeStamp. Consideran que los otros modelos de negocio no utilizan sellos buenos.
Sin embargo, consideramos que eGarante también utiliza “sellos buenos” puesto que basa su modelo de negocio en la Prestación de Servicios de Certificación Electrónica con Sellos de Camerfirma o Firmaprofesional, para diferentes productos y servicios. ¿Tienen menor validez sus productos si llevan sello de Prestador de Servicios de Certificación Autorizado? A nuestro criterio tienen la MISMA validez.
Tomemos ejemplo de Noticeman, producto derivado del Prestador de Servicios de Certificación Autorizado EADTrust. Es un subproducto que utiliza sellos de EADTrust. ¿Tiene menos validez que los propios productos EADTrust? Por supuesto que no.
Profundizando un poco más, si un Prestador de Servicios de Certificación de reciente autorización, ahora puede crear sus propios sellos de TimeStamp porque el Ministerio de Industria le ha autorizado, ¿quiere eso decir que el producto que ha vendido en los años anteriores a ser autorizado, utilizando los sellos de otro Prestador Autorizado, no tienen validez? ¿Quiere decir que los productos que vendió antes de ser él mismo Prestador de Servicios de Certificación carecen de validez jurídica?
Sería una contradicción jurídica. Por lo tanto, todos los productos y servicios que acrediten Actos y Procesos realizados en la Red, garantizados con Sellos de TimeStamp proporcionados por Prestador de Servicios de Certificación autorizado, por el Ministerio de Industria en el caso de España, son igualmente válidos.
Un paso adelante en el desarrollo normativo
El Reglamento del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93 CE
“El presente Reglamento se propone reforzar la confianza en las transacciones electrónicas en el mercado interior proporcionando una base común para lograr interacciones electrónicas seguras entre los ciudadanos, las empresas y las administraciones públicas e incrementando, en consecuencia, la eficacia de los servicios en línea públicos y privados, los negocios electrónicos y el comercio electrónico en la Unión”.
El objetivo es el de crear un mercado único digital y sobre todo garantizar la interoperatividad transfronteriza de las firmas electrónicas y aumentar la seguridad de las transacciones realizadas a través de Internet.
“La Directiva 2006/123/CE del Parlamento Europeo y el Consejo2o exige a los Estados miembros establecer «ventanillas únicas» para garantizar que todos los procedimientos y trámites relativos al acceso a una actividad de servicios y a su ejercicio se puedan realizar fácilmente, a distancia y por vía electrónica, a través de la ventanilla única adecuada y con las autoridades competentes. Ahora bien, muchos servicios en línea accesibles a través de ventanillas únicas exigen la identificación, autenticación y firma electrónicas”
“En la mayoría de los casos, los ciudadanos de un Estado miembro no pueden utilizar su identificación electrónica para autenticarse en otro Estado miembro porque los sistemas nacionales de identificación electrónica en su país no son reconocidos en otros Estados miembros. Dicha barrera electrónica excluye a los prestadores de servicios del pleno disfrute de los beneficios del mercado interior. Unos medios de identificación electrónica mutuamente reconocidos facilitarán la prestación transfronteriza de numerosos servicios en el mercado interior y permitirán a las empresas actuar fuera de sus fronteras sin encontrar obstáculos en su interacción con las autoridades públicas”
En el ANEXO III del Reglamento se determinan los requisitos que debe tener los Certificados Cualificados de Sello Electrónico.
Concluyendo: mientras que hasta la fecha, los Prestadores de Servicios de Certificación únicamente podían validar los Actos y Procesos realizados desde sedes nacionales, debiendo ser autorizados sus productos y servicios en cada uno de los países europeos en los que desarrollasen su modelo de negocio, ahora, se pretende unificar la validez de un Certificado emitido en un país para toda Europa, de manera que el modelo de negocio sirva para crecer y desarrollar la empresa en toda Europa.
Bibliografía:
Reglamento del Parlamento Europeo
web Ministerio de Industria español: www.minetur.es
Noticias relacionadas: La Guardia Civil presente una herramienta de eGarante