Certificados de Atributos y sus diferencias con el Certificado Digital
La certificación digital es un elemento de identificación electrónica que permite generar seguridad y confianza en el intercambio de información vía telemática. Un certificado digital es el equivalente electrónico a un documento de identidad, que permite a su propietario:
- Identificarse en transacciones electrónicas.
- Firmar documentos y mensajes, lo que garantiza: la identidad de las partes que tratan entre sí vía telemática, evitando así suplantaciones, la integridad de la información enviada, evitando modificaciones de los contenidos, y el no repudio de los compromisos adquiridos.
- Cifrar documentos y mensajes, lo que garantiza la confidencialidad de sus contenidos.
El completo desarrollo del DNI electrónico es un elemento fundamental para el impulso de los servicios que la Administración Pública ofrece a los ciudadanos a través de Internet.
La Administración recibe la información en formato electrónico, puede procesarla de forma automática y todo esto en cualquier hora del día y desde cualquier lugar. El ciudadano, por otro lado, dispone de un acceso rápido y cómodo a los trámites que la Administración Pública pone a su disposición en la Red, puede acceder de forma inmediata a sus datos y conocer el estado de su trámite en cualquier hora del día y desde cualquier lugar.
Un empleado privado o público necesita una certificación diferente al eDNI para ejercer sus funciones
El DNI electrónico está basado en la tecnología de certificación digital. Un certificado digital, en pocas palabras, es un documento electrónico donde se asocian los datos del titular de dicho certificado con una clave matemática que le servirá mediante distintos procesos para:
- Realizar firma electrónica.
- Autenticación.
- Cifrar documentos.
El DNI electrónico incorpora una serie de información del titular que se ajusta a los datos que ya existen en el DNI convencional, esto le hace ser funcionalmente rígido. Estamos, por lo tanto, ante un elemento de firma e identificación destinada a un ciudadano que realiza operaciones electrónicas en su nombre.
Nos centraremos en este artículo en la necesidad de incorporar información adicional dentro del certificado, y aquí debemos diferenciar entre los que llamamos certificados digitales de identidad y certificados de atributos.
Hasta el momento, los prestadores de certificación (PSC) que emiten certificados digitales, bajo el amparo de la Ley 59/2003, han incorporado información variada dentro del certificado, dotándoles de mayor capacidad de información ante los servicios electrónicos que los requieren y ofreciendo, por parte de estos, un valor añadido a la simple información de la identidad del titular.
Nos encontramos así dentro de un certificado digital con información sobre la actividad laboral del titular, es decir información de la empresa donde realiza su actividad, atribuciones funcionariales, dirección del lugar de trabajo, titulación, departamento y, sobre todo, capacidad de representación, etc.
Como vemos, el certificado ya no identifica sólo al titular sino que añade información sobre otros atributos que pueden ser valiosos en la tramitación de distintos procesos administrativos, tanto para los funcionarios que ejercen su actividad en la Red, como para los administrados, tanto empresas como ciudadanos.
Es necesaria que la identificación electrónica aportada por el eDNI sea complementada con información adicional sobre los diferentes atributos asociados al titular. Ya que, como hemos visto, estos datos no pueden ser incorporados en el eDNI.
Como hemos comentado anteriormente, un ciudadano tiene como instrumento de identificación el DNI, pero un empleado privado o público necesita una identificación en el ejercicio de sus funciones. Ni qué decir tiene que las empresas tienen que tener identificación en la Red, siempre a través de su representante.
Para poder dotar de esta tecnología a las empresas, Camerfirma, la autoridad de certificación de las Cámaras de Comercio, especializada en la emisión de certificados para organizaciones, pone al servicio de las empresas la posibilidad de obtener certificados digitales de atributos que permiten identificar a personas físicas en el ámbito concreto de su actividad en la empresa o la entidad.
Con ello pretendemos que las empresas puedan comerciar en Internet sin riesgos, garantizando la identidad de cualquier autónomo, empleado representante o apoderado de una empresa o entidad, y en su caso, los poderes que ostenta en el ámbito de la misma, e introduce la firma electrónica en todos los procesos de negocio.
Interacción segura
Ante la necesidad de acreditar electrónicamente no sólo la identidad del ciudadano, sino también la de las empresas, la Agencia Tributaria (AEAT) en su día dio luz a los certificados de persona jurídica emitidos a una organización.
Estos certificados generan incertidumbre, ya que el titular es la propia empresa y, en lo relativo al uso, son certificados que pueden cederse, por lo que aunque el solicitante del certificado sea un representante de la empresa, el ámbito de la responsabilidad no queda bien delimitado.
Los certificados de atributo ofrecen una solución respetuosa para que las personas jurídicas interactúen con la Administración
Además, en la medida en que en el ámbito de la normativa europea relativa a firma electrónica (Directiva 1999/93/CE) los titulares de los certificados reconocidos deben ser personas físicas, y estos certificados de persona jurídica ofrecen ciertas dudas acerca de su validez fuera del ámbito nacional.
Como comentamos en el párrafo anterior, y sin quitar importancia a los certificados de persona jurídica, que pueden aportar valor en múltiples procesos, conviene recordar que generan gran incertidumbre técnica, operativa y jurídica. Es por esto que los certificados emitidos a personas físicas con capacidad de representación son necesarios en el proceso electrónico con las más amplias garantías procedimentales en la realización de la firma electrónica.
En este sentido, los certificados de atributo ofrecen una solución respetuosa para que las personas jurídicas interactúen con la Administración a través de los mecanismos tradicionales de representación mercantil, como es la «representación orgánica» o el apoderamiento general o especial, mediante la utilización de firmas electrónicas que incorporen como «atributo» la relación de representación del firmante, una persona física, respecto a una determinada persona jurídica.
Cualquier empresa, autónomo o apoderado de una entidad podrá operar en Internet no sólo con su firma electrónica, sino que hará valer su acreditación profesional.
Camerfirma ofrece varios tipos de certificados de atributos, ya sean empresariales o funcionariales, dependiendo del grado de responsabilidad a la hora de actuar por parte del solicitante:
Pertenencia a empresa o Administración Pública (vincula al empleado con su empresa o Administración, incluyendo el cargo que ostenta).
Apoderado (la empresa delimita una serie de poderes específicos al empleado para actuar en representación de la empresa. Representación específica).
Representante (para administradores únicos y representantes con un poder amplio).
- Certificados de facturación electrónica.
- Certificado de servidor seguro.
- Certificado de firma de código.
- Certificado de sellado de tiempo.
Marco legislativo
El marco legislativo para el uso de los certificados digitales ha sido impulsado por la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos LAECSP), cuyo objetivo es reducir los trámites administrativos a través de la eAdministración, por lo tanto regula la relación entre Administración y administrados, bien sean empresas o ciudadanos.
En el ámbito de la Ley 11/2007, y el Real Decreto 1671/2009, de 6 de noviembre que la desarrolla, se establecen requerimientos concretos en materia de autenticación, firma electrónica, cifrado y evidencias temporales que las Administraciones Públicas deben implementar en sus procesos internos, y para los que Camerfirma ofrece soluciones adaptadas con todas las garantías técnicas y legales, tales como:
- Certificado de Empleado Público. Es el equivalente a los certificados de Camerfirma de vinculación empresarial utilizados dentro de la Administración Pública.
- Certificado de Sede Electrónica Administrativa. Para la identificación de los portales de Internet de los organismos públicos. Lo que se conoce normalmente por certificados de servidor seguro, que permiten identificar a la persona u organización que es propietaria del servicio accedido; a la vez proporciona un canal seguro entre el usuario y el servidor de páginas web.
- Certificado de Sello para la actuación automatizada. Es un sello electrónico que es utilizado por una máquina o un aplicativo para realizar firmas de forma desasistida. Un certificado que resulta muy útil en la acción diaria administrativa, de la misma forma que el sello de caucho en el mundo físico, tan común en las empresas, y que de alguna forma ha sido olvidado en la regulación de la Ley 59/2003 de firma electrónica, y que aparece en la Ley 11/2007, jugando un papel protagonista. Cabe decir que Camerfirma fue pionera en la emisión y difusión de este tipo de certificados.
Hay que hacer notar que, en estos casos, los perfiles vienen marcados en el Esquema de identificación y firma electrónica de las Administraciones Públicas, por lo que el prestador, siguiendo estas reglas, tiene poco margen para incorporar elementos diferenciales.
Los certificados englobados en la Ley 11/2007 pueden verse en el esquema de esta página, donde se definen dos niveles de aseguramiento: nivel medio, donde el uso del soporte y uso del certificado está abierto y un nivel de aseguramiento alto, donde el soporte de gestión de las claves debe ser un dispositivo de creación de firma DSCF. En el caso del certificado de empleado público, existe además una separación de los usos del certificado.
| Certificados y perfiles | Nivel Medio | Nivel Alto |
| Sello para la actuación automatizada | Perfil único firma, autenticación y cifrado. Sw y Hw | Perfil único firma, autenticación y cifrado. DSCF |
| Sede electrónica administrativa | Perfil único autenticación y cifrado. Sw y Hw | Perfil único autenticación y cifrado. DSCF |
| Empleado Público | Perfil único autenticación y cifrado. Sw y Hw
Perfil independiente para firma, autenticación o cifrado. Sw y Hw |
Perfil independiente para firma, autenticación y cifrado. DSCF |
1-Dispositivo Seguro de Creación de Firma y 2-El certificado de cifrado es opcional.
La 11/2007 hace referencia en su artículo 42 al desarrollo de dos elementos fundamentales para el desarrollo de la Administración electrónica, como son el Esquema Nacional de Seguridad (ENS) y el Esquema Nacional de Interoperabilidad (ENI).
El Esquema Nacional de Interoperabilidad comprenderá el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para que la toma de decisiones tecnológicas garanticen la interoperabilidad. Aspecto éste de principal importancia para que los distintos organismos de las administraciones del Estado puedan intercambiar información de modo fiable y estandarizado.
El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Asunto que implica la implantación de medidas de seguridad en el uso de la información del ciudadano de forma que siempre pueda estar accesible, integra y con garantías plenas de confidencialidad.
Como broche final de este artículo, resumimos los principales elementos diferenciadores entre Camerfirma y el resto de autoridades de certificación que emiten certificados de ciudadanos o incluso el DNI electrónico:
- No solamente identifica a ciudadanos, sino que se identifica a la empresa, Administración Pública u organización a la que pertenece el trabajador (CIF), la existencia de la misma (a través del Registro mercantil) y la vinculación del trabajador con su empresa, Administración Pública u organización (departamento, cargo…).
- Los certificados son solicitados y/o revocados por la empresa o la Administración (responsable de la empresa o la Administración Pública).
- Es por tanto una herramienta de seguridad para el acceso a las aplicaciones internas, eliminando usuario y contraseña.
- La firma producida obliga al titular como empleado, representante o apoderado de la entidad identificada, no como particular.