ETSI TS 119 471: El nuevo estándar que regulará los Proveedores de Servicios de Atestación Electrónica de Atributos

La transformación digital europea da un paso decisivo con la aprobación de un estándar técnico clave para el ecosistema de la identidad digital

La evolución de la identidad digital en Europa

La aprobación del Reglamento eIDAS2 (Reglamento UE 2024/1183) ha marcado un antes y un después en la forma en que concebimos la identidad digital en Europa. Este marco normativo, que modifica el Reglamento eIDAS original, introduce nuevos servicios de confianza y figuras clave en el ecosistema digital europeo, entre ellos, los Proveedores de Servicios de Atestación Electrónica de Atributos (EAASP).

Estos proveedores representan un pilar fundamental en la nueva arquitectura de identidad digital europea, pues son los responsables de verificar, emitir y validar atestaciones electrónicas sobre atributos de personas físicas, jurídicas e incluso objetos. En otras palabras, son quienes certifican digitalmente que un usuario posee determinadas características, cualidades, derechos o permisos, proporcionando así un elemento esencial para múltiples servicios digitales que requieren verificación de atributos específicos sin necesidad de revelar la identidad completa.

Un nuevo estándar técnico para un nuevo servicio de confianza

En este contexto, nos complace anunciar la reciente aprobación del estándar técnico ETSI TS 119 471 V0.0.15 (2025-04), que establece los requisitos de política y seguridad para estos proveedores. Este documento, cuya editora es nuestra eIDAS & eID Scheme Manager, Paloma Llaneza, representa un hito significativo en la implementación práctica del Reglamento eIDAS2.

La labor de Paloma Llaneza como editora de esta especificación técnica ha sido fundamental para garantizar que el estándar refleje tanto las exigencias regulatorias del eIDAS2 como las necesidades prácticas de implementación. Su profundo conocimiento de los aspectos jurídicos y técnicos de los servicios de confianza ha permitido que el documento alcance un equilibrio óptimo entre rigor normativo y viabilidad operativa. Este trabajo representa la continuidad del compromiso de CerteIDAS con el desarrollo del ecosistema europeo de identidad digital, aportando no solo servicios, sino también conocimiento y expertise en la definición de los estándares que darán forma al futuro digital de Europa.

El estándar proporciona un marco técnico detallado que define cómo estos prestadores deben operar para garantizar la seguridad, integridad y confiabilidad de las atestaciones electrónicas de atributos. No se trata simplemente de un documento orientativo, sino de una especificación técnica que servirá como base fundamental tanto para la implementación de estos servicios como para su posterior evaluación de conformidad. Este doble propósito convierte al ETSI TS 119 471 en una herramienta imprescindible tanto para los desarrolladores y operadores de estos servicios como para los organismos de evaluación de la conformidad que deberán certificar su cumplimiento.

Contenido y aspectos clave del nuevo estándar

El ETSI TS 119 471 aborda de manera exhaustiva todos los aspectos necesarios para el funcionamiento seguro y confiable de un EAASP. A continuación, presentamos un resumen de su estructura y contenido principal:

1. Definiciones fundamentales

El estándar establece un marco terminológico preciso, definiendo conceptos fundamentales como «atributo», «atestación electrónica de atributos», «sujeto de atestación», «suscriptor de atestación» y «fuente auténtica». Esta claridad conceptual es esencial para la correcta interpretación e implementación de los requisitos.

2. Servicios de emisión de EAA

• Proceso de iniciación: Establece procesos rigurosos para la verificación de la identidad del sujeto y/o suscriptor, la recopilación de información necesaria y la verificación contra fuentes auténticas.
• Emisión segura: Define requisitos para garantizar la autenticidad e integridad de las atestaciones, implementando medidas contra la falsificación y asegurando la minimización de datos.
• Renovación y revocación: Especifica procedimientos para la gestión del ciclo de vida completo de las atestaciones, incluyendo su renovación y revocación cuando sea necesario.

3. Servicios de validación de EAA

• Disponibilidad 24/7: Exige que la información sobre el estado de revocación esté disponible permanentemente.
• Integridad y autenticidad: Establece mecanismos para garantizar que la información de validación no pueda ser manipulada.
• Privacidad en la validación: Para proveedores cualificados, prohíbe explícitamente recopilar información sobre el uso de las atestaciones durante el proceso de validación.

4. Controles de seguridad organizativos y técnicos

• Gestión de claves criptográficas: Define requisitos robustos para la generación, almacenamiento y protección de claves criptográficas en dispositivos seguros.
• Seguridad de la red y control de accesos: Establece medidas para proteger los sistemas y comunicaciones, incluyendo autenticación multifactor para operaciones críticas.
• Gestión de incidentes y continuidad del negocio: Determina procedimientos para la gestión de vulnerabilidades, incidentes y recuperación ante desastres.

5. Preservación de la privacidad

• Minimización de datos: Exige que solo se soliciten los datos mínimos necesarios para la emisión de atestaciones.
• Separación lógica: Requiere que los atributos y metadatos relacionados con los sujetos se mantengan lógicamente separados de otros datos.
• Prohibición de tracking: Impide el seguimiento, vinculación o correlación de transacciones o comportamientos de los sujetos tras la emisión.

6. Especificaciones para la Cartera Europea de Identidad Digital

• Verificación del Wallet: Establece mecanismos para autenticar unidades de cartera antes de emitir atestaciones.
• Divulgación selectiva: Exige soporte para la divulgación selectiva de atributos, permitiendo a los usuarios compartir solo la información necesaria.
• Mitigación de la vinculabilidad: Define técnicas para evitar el rastreo de usuarios, como atestaciones de validez limitada o de un solo uso.
• Vinculación a dispositivos: Especifica métodos para vincular criptográficamente las atestaciones al dispositivo del usuario, impidiendo su clonación.

Alineación con la arquitectura europea de identidad digital

Uno de los aspectos más destacables de este estándar es su perfecta alineación con la última versión del Marco de Referencia Arquitectónico de la UE (ARF). Esta sincronización no es casual, sino el resultado de un trabajo meticuloso de coordinación entre los diferentes grupos técnicos involucrados en el desarrollo del ecosistema de identidad digital europeo.

El estándar ETSI TS 119 471 incorpora referencias explícitas a componentes clave del ARF, como los flujos de presentación de proximidad y remotos, el concepto de Dispositivo Criptográfico Seguro de la Cartera (WSCD) y los formatos de atestación compatibles (ISO/IEC 18013-5 y SD-JWT VC). Además, adopta los mismos principios fundamentales del ARF en cuanto a preservación de la privacidad, control por parte del usuario y seguridad de los datos.

Esta alineación garantiza que los proveedores que implementen sus servicios siguiendo las especificaciones del ETSI TS 119 471 estarán en consonancia con la visión arquitectónica global del ecosistema europeo de identidad digital, facilitando la interoperabilidad y la integración en el futuro ecosistema paneuropeo de identidad.

Implicaciones para la industria: implementación y evaluación de conformidad

Para los prestadores de servicios de confianza, este estándar ofrece una hoja de ruta clara para la implementación de servicios de atestación electrónica de atributos. Define con precisión los requisitos técnicos, organizativos y procedimentales que deben cumplirse, facilitando así el proceso de desarrollo y puesta en marcha de estos servicios.

Pero su relevancia va más allá de la mera orientación. El ETSI TS 119 471 servirá como referencia fundamental para los procesos de evaluación de conformidad que deberán superar estos proveedores, especialmente aquellos que aspiren a obtener la cualificación como proveedores cualificados de servicios de atestación electrónica de atributos (QEAASP).

La evaluación de conformidad basada en este estándar permitirá:

1. Verificar el cumplimiento normativo: Los organismos de evaluación podrán comprobar de manera sistemática y objetiva que el proveedor cumple con todos los requisitos establecidos en el Reglamento eIDAS2 para este tipo de servicios.
2. Garantizar la seguridad y fiabilidad: La evaluación de los controles de seguridad, la gestión de claves criptográficas y los procedimientos operativos asegurará que las atestaciones emitidas sean fiables y estén adecuadamente protegidas.
3. Verificar la protección de datos: La evaluación incluirá aspectos relacionados con la privacidad y la protección de datos personales, asegurando que el proveedor implementa correctamente los principios de minimización de datos y las técnicas de preservación de la privacidad.
4. Comprobar la interoperabilidad: La evaluación verificará que las atestaciones emitidas cumplen con los formatos y especificaciones técnicas necesarios para garantizar su interoperabilidad en el ecosistema europeo.

Este enfoque dual del estándar, que sirve tanto para la implementación como para la evaluación, proporciona un marco completo que acompañará a los proveedores durante todo el ciclo de vida del servicio, desde su concepción y desarrollo hasta su certificación y operación continua.

Conclusión: un paso decisivo hacia la identidad digital europea

La aprobación de este estándar representa un avance significativo en la materialización práctica del Marco Europeo de Identidad Digital establecido en el Reglamento eIDAS2. Proporciona la base técnica necesaria para uno de los componentes más innovadores de este ecosistema: los servicios que permitirán a los ciudadanos europeos demostrar digitalmente sus atributos de forma segura, confiable y respetuosa con la privacidad.

En CerteIDAS, estamos comprometidos con el desarrollo de este nuevo paradigma de identidad digital y nos enorgullece contribuir activamente, a través de la participación de nuestra experta Paloma Llaneza en la edición de este estándar, a la construcción de una Europa digital más segura, confiable y centrada en el ciudadano.

¿Desea saber más sobre cómo implementar servicios de atestación electrónica de atributos conformes con el ETSI TS 119 471 o sobre cómo prepararse para una evaluación de conformidad? Contacte con nuestro equipo de expertos.