Selectie van identificatie- en elektronische handtekeningmechanismen

Elektronische handtekening en identificatiemechanismen

Bij het in werking stellen van een elektronische procedure wordt herhaaldelijk overwogen wat het criterium is dat moet worden gevolgd om te beslissen welke identificatie- en elektronische handtekeningmechanismen burgers kunnen gebruiken om zich te verhouden tot een openbaar bestuur, vooral rekening houdend met de regelgevende veranderingen die zich in dit opzicht voortdurend voordoen .

De mechanismen voor elektronische identificatie en handtekening die, samengevat, door geïnteresseerde partijen kunnen worden gebruikt, zijn (raadpleeg voor meer informatie de artikelen 9 en 10 van wet 39/2015 van 1 oktober betreffende de gemeenschappelijke administratieve procedure van de openbare administraties):

Gekwalificeerde elektronische certificaten van elektronische handtekening uitgegeven door providers die zijn opgenomen in de "Trusted List of Certification Service Providers".
Gekwalificeerde elektronische certificaten van elektronische zegels uitgegeven door aanbieders die zijn opgenomen in de "Vertrouwde lijst van certificatiedienstverleners".
Elk ander systeem dat de overheidsdiensten als geldig beschouwen, zolang ze een eerdere registratie als gebruiker hebben waarmee ze hun identiteit kunnen garanderen.

Mechanismen op basis van gekwalificeerde certificaten (eerdere aib-punten) "ze moeten geaccepteerd worden", in overeenstemming met verordening nr. 910/2014 van het Europees Parlement en de Raad, van 23 juli, met betrekking tot elektronische identificatie en vertrouwensdiensten (ReIdAS) en Wet 39/2015 zelf, van 1 oktober, terwijl de rest van de systemen (sectie c) "ze kunnen wordt geaccepteerd”, altijd rekening houdend met het beveiligingsniveau dat ze bieden.

Sollicitatiecriteria

Het nationale veiligheidsschema (KB 311/2022 van 3 mei, hierna ENS) bepaalt dat identificatie- en elektronische handtekeningmechanismen drie beveiligingsniveaus kunnen hebben, samen met de criteria die moeten worden gevolgd om ze in elk geval vast te stellen. Het legt ook de criteria vast om te bepalen welk niveau een specifiek systeem of actie vereist.

Om het beveiligingsniveau te definiëren dat vereist is door de systemen van elke overheidsadministratie en, in het bijzonder, het type identificatiebewijs dat toelaatbaar is voor identificatie en elektronische handtekening voor een specifieke actie, moet daarom rekening worden gehouden met wat de ENS legt bloot en vindt de balans tussen beveiliging en bruikbaarheid (uitgebreid in de volgende sectie).

In die zin stellen de diensten die door het AOC-consortium worden aangeboden burgers in staat zichzelf te identificeren en documenten te ondertekenen, zowel met gekwalificeerde elektronische certificaten als door de systemen te gebruiken die zijn gebaseerd op het verzenden van eenmalige wachtwoorden Cl@ve en idCAT Mòbil, zodat elke gebruikersadministratie kan beslissen in welke gevallen ze kunnen worden aanvaard.

In het gebied van de Generalitat van Catalonië wordt deze beslissing bijvoorbeeld bepaald door Bestel VPD/93/2022, van 28 april, waarmee de Catalogus van identificatie- en elektronische handtekeningsystemen is goedgekeurd, en in het bijzonder door Bestel PRE/158/2022, van 30 juni, die de Gids goedkeurt voor het gebruik van identificatie- en elektronische handtekeningsystemen op het gebied van de administratie van de Generalitat. Dit laatste besluit stelt in het tweede punt en in het algemeen vast dat alle mechanismen in de catalogus worden geaccepteerd voor alle procedures en diensten. Dezelfde gids stelt een procedure vast om dit criterium uit te sluiten en de acceptatie van een van de mechanismen te beperken, hetzij vanwege het bestaan van:

Juridisch risico: met betrekking tot een specifieke procedure, beoordeling van het bestaan van een risico dat de levensvatbaarheid en rechtszekerheid van de procedure verhindert vanwege mogelijke fraude bij de ondertekening van het document of imitatie van belanghebbende personen, die zijn oorsprong vindt in de gebrek aan robuustheid van de identificatie- of elektronische handtekeningsystemen.
Cyberbeveiligingsrisico of gegevensbescherming: beoordeling van de behoefte aan meer beperkende specifieke maatregelen die worden bepaald op basis van het risiconiveau of de classificatie van de informatie, dienst of procedure of de mogelijke verwerking van persoonsgegevens die zijn afgeleid van de procedure of dienst waarop wordt verwacht het identificatie- of elektronische handtekeningsysteem te gebruiken.

Beveiligingsniveaus van identificatie- en handtekeningmechanismen

Zoals vermeld, voorziet de ENS in drie beveiligingsniveaus (laag, gemiddeld en hoog) en de criteria die moeten worden gevolgd om ze in elk geval vast te stellen, met name in bijlage I, punt drie.

Hetzelfde ENS definieert in bijlage II de criteria voor het toekennen van een beveiligingsniveau aan een mechanisme voor identificatie en elektronische handtekening.

Zo definieert het punt met betrekking tot het operationele kader (punt 4.2.5 over authenticatiemechanisme [controle op.acc.5]) de vereisten waaraan moet worden voldaan door elektronische identificatiemechanismen die voor elk beveiligingsniveau burgers, begrepen als externe gebruikers van de organisatie, in dienst zullen moeten nemen. Samenvattend worden voor elk niveau geaccepteerd:

LAAG NIVEAU: Elk identificatiemechanisme dat door de huidige wetgeving wordt geaccepteerd, zoals wachtwoorden, gebruikerswachtwoord plus eenmalig wachtwoord, gekwalificeerd certificaat of fysieke apparaatcertificaten (bijv. kaart).
GEMIDDELD NIVEAU: Vereist het gebruik van ten minste eenmalige wachtwoorden als tweede authenticatiefactor.
HOOG NIVEAU: De vereisten zijn dezelfde als voor het middenniveau.

Aan de andere kant, de niveaus die moeten worden toegepast met betrekking tot mechanismen voor elektronische handtekeningen (gedefinieerd in punt 5 Beschermingsmaatregelen [mp], met name punt 5.7.3 Elektronische handtekening [controle mp.info.3]), die samenvattend aanvaarden:

LAAG NIVEAU: Elk mechanisme voor elektronische handtekeningen dat wordt geaccepteerd door de huidige wetgeving
GEMIDDELD NIVEAU: Indien gebruik wordt gemaakt van een geavanceerde elektronische handtekening op basis van elektronische certificaten, dienen deze gekwalificeerd te zijn. Het zal nodig zijn om algoritmen en parameters te gebruiken die zijn goedgekeurd door het National Cryptographic Centre of door een nationaal of Europees schema dat van toepassing is.
HOOG NIVEAU: Geavanceerde handtekening op basis van gekwalificeerde certificaten met een tweede authenticatiefactor is vereist voor activering van uw privésleutel.

Wat biedt het AOC Consortium?

De VALID-service van het AOC-consortium stelt Catalaanse overheidsdiensten in staat om zowel idCAT Mòbil als Cl@ve en gekwalificeerde certificaten in elektronische identificatieprocessen te accepteren en biedt een gewoon elektronisch handtekeningmechanisme gekoppeld aan de gepresenteerde referentie. Overheidsdiensten kunnen dus beslissen of ze alle of slechts enkele van deze mechanismen accepteren, en hebben verschillende configuraties om dit te doen, afhankelijk van elke specifieke behoefte.

In het geval van de dienst e-NOTUM, die een portaal heeft waar burgers elektronische meldingen kunnen doen, is de type referentie om te accepteren kan worden ingesteld voor elke specifieke melding.

Gerelateerde Links

Wanneer gebruikt u een identificatiesysteem of een handtekeningsysteem? Gebruik gevallen

https://suport-50ombres.aoc.cat/hc/ca/articles/4417825198993-Quan-cal-utilitzar-un-sistema-d-identificaci%C3%B3-o-un-sistema-de-signatura-Casos-d-%C3%BAs-

De elektronische handtekening van facturen

https://suport-efact.aoc.cat/hc/ca/articles/4414477358353-La-signatura-electr%C3%B2nica-de-les-factures

Selectie van identificatie- en elektronische handtekeningmechanismen

Gerelateerde items

Abonneer u op de AOC-nieuwsbrief