El Instituto Europeo de Normas de Telecomunicaciones (ETSI) ha publicado el borrador de la especificación técnica TS 119 471, que establece las políticas y requisitos de seguridad para los prestadores de servicios de atestación electrónica de atributos (EAA). Este documento, fundamental para el desarrollo del ecosistema de identidad digital europeo, se encuentra en fase de consulta pública hasta el 20 de diciembre de 2024.
Bajo el liderazgo de nuestra eIDAS & eID Scheme Manager, Paloma Llaneza, quien ha actuado como editora y rapporteur, el estándar proporciona un marco técnico completo para los prestadores que ofrecerán servicios de atestación de atributos bajo el nuevo reglamento eIDAS 2.0. El estándar es especialmente relevante tanto para prestadores cualificados (QEAASP) como no cualificados (EAASP).
El documento detalla los requisitos en varias áreas críticas:
Proceso de emisión y gestión de atestaciones
- Verificación rigurosa de la identidad y atributos del sujeto
- Validación de fuentes auténticas de información
- Procedimientos seguros de emisión y renovación
- Mecanismos de revocación y gestión del ciclo de vida
- Requisitos específicos para la integración con carteras digitales europeas (EUDI Wallets)
Seguridad y organización
- Controles de acceso y segregación de funciones
- Gestión de claves criptográficas
- Seguridad física y de red
- Monitorización y registro de eventos
- Gestión de incidentes y vulnerabilidades
- Planes de continuidad de negocio
Protección de datos y privacidad
- Separación lógica de datos personales
- Técnicas de preservación de la privacidad
- Restricciones en el seguimiento y correlación de transacciones
- Controles específicos para prestadores cualificados
Verificación y validación
- Servicios de validación 24/7
- Verificación de estado de revocación
- Mecanismos de comprobación de autenticidad
Un aspecto destacable es la atención prestada a la integración con las futuras carteras digitales europeas (EUDI Wallets), incluyendo requisitos específicos para la emisión de atestaciones a estas carteras y la verificación de su estado y autenticidad.
El borrador incorpora también requisitos detallados sobre la gestión de evidencias y registros, fundamentales para garantizar la auditabilidad y transparencia de los servicios. Los prestadores deberán mantener registros completos de todas las operaciones relacionadas con el ciclo de vida de las atestaciones.
La consulta pública representa una oportunidad importante para que la industria y las partes interesadas aporten su visión y experiencia antes de la finalización del estándar. Los comentarios pueden enviarse utilizando la plantilla oficial de ETSI a través del correo electrónico e-signatures_comments@list.etsi.org.
Este desarrollo normativo es fundamental para la implementación del nuevo marco eIDAS 2.0 y el despliegue de servicios de identidad digital avanzados en Europa. El estándar proporciona la base técnica necesaria para garantizar servicios seguros, interoperables y respetuosos con la privacidad.
Para acceder al borrador completo y obtener más información sobre el proceso de comentarios, se puede visitar la página web de ETSI (www.etsi.org).