b1t9 - LEY 6/2020, REGULADORA DE DETERMINADOS ASPECTOS DE LOS SERVICIOS ELECTRÓNICOS DE CONFIANZA Flashcards

1
Q

Esta ley, qué reglamento de la UE implementa?

A

(UE) 910/2014

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Cuáles son los servicios electrónicos cualificados de confianza que cubre?

A

Firma electronica (persona física)
Sello electrónico de persona jurídica
Validación de firmas y sellos cualificados
Conservación de firmas y sellos cualificados
Entrega electrónica cualificada
Expedición de certificados de autenticación web

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Esta ley, qué garantiza respecto a la firma electrónica cualificada y la firma manuscrita?

A

El Reglamento (UE) 910/2014 garantiza la equivalencia jurídica entre la firma electrónica cualificada y la firma manuscrita, pero permite a los Estados miembros determinar los efectos de las otras firmas electrónicas y de los servicios electrónicos de confianza en general.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Qué tiempo máximo de vigencia mantiene esta ley en los Certificados electrónicos?
Cuántas veces se permite el encadenamiento a partir de un certificado anterior?

A

5 años de vigencia máxima
Ojo! puede ser menor, por ejemplo 24 meses (2 años) los certificados del DNIe de identifiación y firma!!!
1 encadenamiento

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qué tiempo máximo de vigencia mantiene esta ley en los Certificados electrónicos?
Cuántas veces se permite el encadenamiento a partir de un certificado anterior?

A

5 años de vigencia máxima
1 encadenamiento

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Los prestadores de servicios cualificados deben contratar un seguro de responsabilidad civil, de qué cantidad?

A

Sólo si son privados

1.500.000€
más 500.000€ por cada servicio adicional

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Qué ley deroga esta ley?

A

Esta Ley deroga la Ley 59/2003, de 19 de diciembre, de firma electrónica

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

El nuevo paradigma de esta ley, qué tipo de certificados establece para persona física y jurídica?

A

Persona física -> firma electrónica cualificada
Persona jurídica -> Sello electrónico cualificado

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Para qué tipo de prestadores de servicios se requiere una verificación previa?
En qué plazo deben comunicar el inicio de su actividad?

A

Sólo se requiere para los cualificados
Deberán comunicar al órgano supervisor la prestación del servicio en el plazo de tres meses desde que inicien su actividad, a los meros efectos de conocer su existencia y posibilitar su supervisión.

A los no cualificados no se le hará la revisión, pero sí deben comunicar el inicio de actividad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Cuáles son los atributos de identidad que deben aportar los titulares de la firma electrónica, certificado de sitio web y de sello electrónico¿

A

Firma y certificado web -> Nombre y apellidos, DNI
Sello electrónico -> Denominación o razón social, nº id fiscal

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Cuál es el órgano que supervisa a los prestadores de servicios electrónicos de confianza cualificados y no cualificados?

A

El Ministerio de Asuntos Económicos y Transformación Digital

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Qué infracciones son muy graves?

A

a) (Reinicidencia de 2 graves en 2 años) La comisión de una infracción grave en el plazo de dos años desde que hubiese sido sancionado por una infracción grave de la misma naturaleza, contados desde que recaiga la resolución sancionadora firme.

b) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando ello afecte a la mayoría de los certificados cualificados expedidos en el año anterior al inicio del procedimiento sancionador o desde el inicio de la actividad del prestador si este periodo es menor.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Qué infracciones son graves?

A

a) La resistencia, obstrucción, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley.
b) Actuar en el mercado como prestador cualificado de servicios de confianza, ofrecer servicios de confianza como cualificados o utilizar la etiqueta de confianza «UE» sin haber obtenido la cualificación de los citados servicios.
c) En caso de que el prestador expida certificados electrónicos, almacenar o copiar, por sí o a través de un tercero, los datos de creación de firma, sello o autenticación de sitio web de la persona física o jurídica a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del titular.
d)** No proteger** adecuadamente los datos de creación de firma, sello o autenticación de sitio web cuya gestión se le haya encomendado en la forma establecida en el artículo 9.1.b) de esta Ley.
e) No registrar o conservar la información a la que se refiere el artículo 9.3.a) de esta Ley.
f) El incumplimiento de la obligación de notificación de incidentes establecida en el artículo 19.2 del Reglamento (UE) 910/2014, en los términos previstos en el artículo 13 de esta Ley.
g) En caso de prestadores cualificados de servicios de confianza, el incumplimiento de alguna de las obligaciones establecidas en los artículos 24.2, letras b), c), d), e), f), g), h), y k), 24.3 y 24.4 del Reglamento (UE) 910/2014, con las precisiones establecidas, en su caso, por esta Ley.
h) La expedición de certificados cualificados sin realizar todas las comprobaciones previas relativas a la identidad u otras circunstancias del titular del certificado o al poder de representación de quien lo solicita en su nombre, señaladas en el Reglamento (UE) 910/2014 y en esta Ley, cuando no constituya infracción muy grave.
i) La ausencia de adopción de medidas, o la adopción de medidas insuficientes, para la resolución de los incidentes de seguridad en los productos, redes y sistemas de información, en el plazo de diez días desde que aquellos se hubieren producido.
j) El incumplimiento de las resoluciones dictadas por el Ministerio de Asuntos Económicos y Transformación Digital para requerir a un prestador de servicios de confianza que corrija cualquier incumplimiento de los requisitos establecidos en esta Ley y en el Reglamento (UE) 910/2014.
k) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control, a partir del segundo requerimiento.
l) No cumplir con las obligaciones de constatar la verdadera identidad del titular de un certificado electrónico y de conservar la documentación que la acredite, en caso de consignación de un pseudónimo.
m) El incumplimiento por parte de los prestadores cualificados y no cualificados de servicios de confianza de la obligación establecida en el artículo 19.1 del Reglamento (UE) 910/2014 de adoptar las medidas técnicas y organizativas adecuadas para gestionar los riesgos para la seguridad de los servicios de confianza que presten.
n) No extinguir la vigencia de los certificados electrónicos en los supuestos señalados en esta Ley.
o) La prestación de servicios cualificados careciendo del correspondiente seguro obligatorio, en los términos previstos en el artículo 9.3.b) de esta Ley.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Qué infracciones son leves?

A
  1. Constituyen infracciones leves:
    a) Publicar información no veraz o no acorde con esta Ley y el Reglamento (UE) 910/2014.
    b) No comunicar el inicio de actividad, su modificación o cese por los prestadores de servicios no cualificados en el plazo establecido en el artículo 12 de esta Ley.
    c) El incumplimiento por los prestadores cualificados de servicios de confianza de alguna de las obligaciones establecidas en el artículo 24.2, letras a) e i) del Reglamento (UE) 910/2014.
    d) El incumplimiento por los prestadores cualificados de servicios de confianza de su obligación de remitir un informe anual de actividad al Ministerio de Asuntos Económicos y Transformación Digital antes del 1 de febrero de cada año.
    e) El incumplimiento del deber de comunicación establecido en el artículo 9.3.c) de esta Ley.
    f) La falta o deficiente presentación de información solicitada por parte del Ministerio de Asuntos Económicos y Transformación Digital en su función de inspección y control.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

De qué importes son las sanciones por infraccione muy graves, graves y leves?

A

Muy graves -> 150.001 - 300.000
Graves -> 50.001-150.000
Leves -> hasta 50.000

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Cuál es la vida útil del DNIe en cuanto a su soporte físico?

A

a) Dos años, cuando el solicitante no haya cumplido los cinco años de edad.
b) Cinco años, cuando el titular haya cumplido los cinco años de edad y no haya alcanzado los treinta al momento de la expedición o renovación.
c) Diez años, cuando el titular haya cumplido los treinta y no haya alcanzado los setenta.
d) Permanente cuando el titular haya cumplido los setenta años.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Qué tamaño debe tener el pin del DNIe?

A

de 12 a 16 caracteres

18
Q

Cuál es la versión del DNIe que salio en 2021?

A

DNIe 4.0, con la bandera de europa y su denominació en Inglés

19
Q

Cuál es la la validez de los certificados electrónicos contenidos en el chip de la tarjeta del DNIe?

A

un período de vigencia máxima de 5 años

20
Q

Qué información tiene el Chip criptográfico del DNIe?

A

Chip criptográfico, que contiene la siguiente información en formato digital:
* Un certificado electrónico para autenticar la personalidad del ciudadano
* Un certificado electrónico para firmar electrónicamente, con la misma validez jurídica que la firma manuscrita
* Certificado de la Autoridad de Certificación emisora
* Claves para su utilización
* La plantilla biométrica de la impresión dactilar
* La fotografía digitalizada del ciudadano
* La imagen digitalizada de la firma manuscrita.
* Datos de la filiación del ciudadano, correspondientes con el contenido personalizado en la tarjeta.

21
Q

Qué elementos de seguridad FÍSICOS para evitar falsificación tiene el DNIe?

A
  • Visibles a simple vista (tintas ópticamente variables, relieves, fondos de seguridad)
  • Verificables mediante medios ópticos y electrónicos (tintas visibles con luz ultravioleta, microescrituras)
22
Q

Qué elementos de seguridad DIGITALES para evitar falsificación tiene el DNIe?

A
  • Encriptación de los datos del chip
  • Acceso a la funcionalidad del DNI electrónico mediante clave personal de acceso (PIN)
  • Las claves nunca abandonan el chip
  • La Autoridad de Certificación es el la Dirección General de la Policía
23
Q

Qué información tiene el reverso de la tarjeta del DNIe?

A

El reverso de la tarjeta contiene los siguientes elementos:
* Información impresa (y visible a simple vista) sobre la identidad del ciudadano en la parte superior:
* Lugar de nacimiento
* Provincia-país
* Hijo de
* Domicilio
* Lugar de domicilio
* Provincia-paísy equipo
* Información impresa OCR-B para lectura mecanizada sobre la identidad del ciudadano según normativa OACI (Organización Aviación Civil Internacional) para documentos de viaje

24
Q

Qué medidas de seguridad para la verificación tiene el DNI?
PRIMER NIVEL

A
  • Elementos de Seguridad de PRIMER NIVEL que son perceptibles a simple vista:
    ◦ Hologramas / Kinegramas
    ◦ Tinta OVI
    ◦ Imagen láser cambiante (CLI)
    ◦ Letras táctiles
    ◦ Estructuras superficiales en relieve
25
Q

Qué medidas de seguridad para la verificación tiene el DNI?
SEGUNDO NIVEL

A
  • Elementos de Seguridad de SEGUNDO NIVEL que son perceptibles mediante equipos mecánicos y electrónicos:
    ◦ Tintas reactivas UV
    ◦ Microtexto
    ◦ Fondo de Seguridad (Guilloches)
    ◦ Imágenes codificadas
26
Q

Qué medidas de seguridad para la verificación tiene el DNI?
TERCER NIVEL

A
  • Elementos de Seguridad de TERCER NIVEL, que son perceptibles en laboratorio:
    ◦ Medidas criptográficas y biométricas integradas en el chip.
27
Q

Qué tres certificados tiene el DNIe?

A
  • Certificado de Componente cuyo propósito es la autenticación de la tarjeta del DNI electrónico mediante el protocolo de autenticación mutua definido en CWA 14890. Permite el establecimiento de un canal cifrado y autenticado entre la tarjeta y los Drivers. Este certificado no estará accesible directamente por los interfaces estándar (PKCS11 o CSP).
  • Certificado de Autenticación que tiene como finalidad garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica se realiza con la persona que dice que es.
  • Certificado de firma es el que utilizaremos para la firma de documentos garantizando la integridad del Documento y el No repudio de origen.
    Es un certificado X509v3 estándar, que tiene activo en el Key Usage el bit de Content Commitment (No Repudio) y que está asociado a un par de claves pública y privada, generadas en el interior del CHIP del DNI
28
Q

De qué se encargan las Autoridades de Validación del DNI-e y quienes son?

A

Suministrar información para certificar la vigencia de los certificados electrónicos, mediante listas de revocación de certificados (CRL) o protocolo OCSP

  • Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda, que prestará sus servicios de validación con carácter universal: ciudadanos, empresas y Administraciones Públicas.
  • Ministerio de Hacienda y Función Pública, que prestará los servicios de validación al conjunto de las Administraciones Públicas.
29
Q

De qué se encarga la Autoridad de Certificación y quién es?

A

Ministerio del Interior - Dirección General de la Policía
Certifica los datos de identidad de su titular

30
Q

Cuáles son los algoritmos criptográficos soportados por el DNIe?

A

Algoritmos criptográficos soportados:
* La tarjeta DNI es capaz de generar y gestionar claves RSA. La generación de la pareja de claves RSA sigue el estándar PKCS#1 v1.5.
* Algoritmo de hash SHA-256 en la validación de certificados y en los comandos de autenticación.
* Algoritmos de cifrado simétrico Triple DES y AES

31
Q

Cuánta memoria y ram tiene el chip del DNIe?

A

400KB memoria Flash (código + personalización)
8KB memoria RAM
Dual interface (con contactos y sin contactos)
Criptolibrería RSA
CC EAL5+

32
Q

Qué es DNIeDroid?

A

El DNIeDroid es un middleware encargado de gestionar la conexión entre dispositivos móviles y el DNIe, para Android e iOS, para implementar el servicio de NFC

33
Q

La información en el chip está distribuida en tres zonas con diferentes niveles y condiciones de acces, cuáles?

A

ZONA PÚBLICA
ZONA PRIVADA
ZONA DE SEGURIDAD
DATOS CRIPTOGRÁFICOS

34
Q

Qué hay en la zona pública del chip del DNIe y cómo se accede a ella?

A
  • ZONA PÚBLICA: Accesible en lectura sin restricciones, contenido:
    • Certificado CA intermedia emisora.
    • Claves Diffie-Hellman.
    • Certificado x509 de componente.
35
Q

Qué hay en la zona privada del chip del DNIe y cómo se accede a ella?

A
  • ZONA PRIVADA: Accesible en lectura por el ciudadano, mediante la utilización de la Clave Personal de Acceso o PIN, conteniendo:
    • Certificado de Firma (No Repudio).
    • Certificado de Autenticación (Digital Signature).
36
Q

Qué hay en la zona de seguridad del chip del DNIe y cómo se accede a ella?

A
  • ZONA DE SEGURIDAD: Accesible en lectura por el ciudadano, en los Puntos de Actualización del DNIe.
    • Datos de filiación del ciudadano (los mismos que están en el soporte físico).
    • Imagen de la fotografía.
    • Imagen de la firma manuscrita
37
Q

Cuáles son los datos criptográficos del DNIe?

A

◦ DATOS CRIPTOGRÁFICOS: Claves de ciudadano
▪ Clave RSA pública de autenticación (Digital Signature).
▪ Clave RSA pública de no repudio(ContentCommitment).
▪ Clave RSA privada de autenticación (Digital Signature).
▪ Clave RSA privada de firma (ContentCommitment).
▪ Patrón de impresión dactilar.
▪ Clave Pública de root CA para certificados card-verificables.
▪ Claves Diffie-Hellman que constituyen un protocolo criptográfico de establecimiento de claves entre partes que no han tenido contacto previo, utilizando un canal inseguro y de manera anónima y por tanto no autentificada)

38
Q

La arquitectura general de la Infraestructura de Certificación del DNI-e y su tamaño es:

A

AC raíz 4096 bits (30 años)
AC subordinada 2048 bits (15 años)

39
Q

Cómo se llaman las “piezas” de software necesarias para poder interaccionar adecuadamente con las tarjetas criptográficas en general y con el DNI electrónico en particular?

A

módulos criptográficos

40
Q

En los entornosGNU / Linuxy MacOS podemos utilizar el DNI electrónico a través de un módulo criptográfico denominado:

A

PKCS#11

41
Q

Según la Ley 39/2015, en relación a la firma electrónica: Con carácter general, para realizar cualquier actuación prevista en el procedimiento administra3vo, será
suficiente con que los interesados acrediten previamente su iden3dad a través de cualquiera de los medios
de iden3ficación previstos en la Ley.

A