La política de firma electrónica representa el conjunto de criterios comunes asumidos por la Administración General del Estado (AGE) en relación con la documentación y firma electrónica, que afecta a las relaciones de la Administración con los ciudadanos y entre sus distintos órganos, según lo previsto en el artículo 24.1 del RD 1671/2009, que prevé que la política de firma electrónica y certificados en el ámbito de la Administración General del Estado y de sus organismos públicos está constituida por las directrices y normas técnicas aplicables a la utilización de certificados y firma electrónica dentro de su ámbito de aplicación.
Además, se describen los perfiles de certificados derivados de la Ley 40/2015, de Régimen Jurídico del Sector Público. Dichos certificados son: certificado de sede electrónica, certificado de sello electrónico, certificado de empleado público y certificado de empleado público con seudónimo. Asimismo se incluye una definición para el certificado raíz de la subCA emisora.
El Reglamento 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE define:
- firma electrónica: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar;
- firma electrónica avanzada: la firma electrónica que cumple los requisitos contemplados en el artículo 26; es decir:
- a) estar vinculada al firmante de manera única;
- b) permitir la identificación del firmante;
- c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
- d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
- firma electrónica cualificada: una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica;
Para que una firma electrónica pueda ser considera firma electrónica cualificada, de la ley se infieren los siguientes requisitos:
- La identificación posibilita garantizar la identidad del firmante de manera única.
- Integridad: garantiza que el contenido de un mensaje de datos ha permanecido completo e inalterado, con independencia de los cambios que hubiera podido sufrir el medio que lo contiene como resultado del proceso de comunicación, archivo o presentación.
- No repudio: es la garantía de que no puedan ser negados los mensajes en una comunicación telemática.
Cuando se firman datos, el firmante indica la aceptación de unas condiciones generales y unas condiciones particulares aplicables a aquella firma electrónica mediante la inclusión de un campo firmado, dentro de la firma, que específica una política explícita o implícita.
Si el campo correspondiente a la normativa de firma electrónica está ausente y no se identifica ninguna normativa como aplicable, entonces se puede asumir que la firma ha sido generada o verificada sin ninguna restricción normativa, y en consecuencia, que no se le ha asignado ningún significado concreto legal o contractual. Se trataría de una firma que no especifica de forma expresa ninguna semántica o significación concreta y, por lo tanto, hará falta derivar el significado de la firma a partir del contexto (y especialmente, de la semántica del documento firmado).
La finalidad de una política de firma es reforzar la confianza en las transacciones electrónicas a través de una serie de condiciones para un contexto dado, el cual puede ser una transacción determinada, un régimen legal, un rol que asuma la parte firmante.
