Veridas, primera compañía en cumplir con los requisitos de la CCN para certificados cualificados
Veridas se ha convertido en la primera empresa en España en superar con éxito las pruebas de cualificación exigidas por las nuevas guías del Centro Criptológico Nacional (CCN) para su solución de Onboarding Digital.
Este logro permitirá a aquellos Prestadores Cualificados de Servicios de Confianza, los conocidos como Qualified Trust Service Providers o QTSPs en sus siglas en inglés, que usen la tecnología de Veridas, cumplir con la regulación exigida para la emisión de certificados digitales cualificados.
Dicha exigencia entrará en vigor a partir del 1 de enero de 2023 y será obligatoria para todo QTSP que quiera seguir operando en territorio español y que desee realizar la verificación de identidad previa a la emisión de certificados cualificados de forma no presencial.
¿Qué es la Guía de Seguridad del CCN?
Para poder entender el papel que juega la Guía de Seguridad del CCN en la emisión de certificados electrónicos cualificados es necesario remontarse a 2014, en el contexto de las regulaciones aprobadas por el Parlamento Europeo.
A través del reglamento eIDAS (reglamento nº 910/2014), relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior, el Parlamento Europeo abre la puerta a que los emisores de certificados electrónicos cualificados utilicen para la verificación de la identidad de los solicitantes de dichos certificados “otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad” (artículo 24.1.d)
Más recientemente, en el año 2020, en España se aprobó la Ley 6/2020, de 11 de noviembre, destinada a regular determinados aspectos de los servicios electrónicos de confianza. En dicha ley, se hace referencia a una nueva orden donde “se determinarán otras condiciones y requisitos técnicos de verificación de la identidad a distancia y, si procede, otros atributos específicos de la persona solicitante de un certificado cualificado, mediante otros métodos de identificación como videoconferencia o vídeo identificación que aporten una seguridad equivalente en términos de fiabilidad a la presencia física según su evaluación por un organismo de evaluación de la conformidad” (artículo 7.2)
¿Cuáles son los requisitos exigidos?
El Anexo F.11, en su última modificación de marzo de 2022, distingue entre Requisitos Fundamentales de Seguridad (RFS) -que incluye la referencia a la evaluación del Módulo de Evaluación Biométrica (MEB)-, validación de los documentos presentados y requisitos fundamentales de seguridad opcionales. Veridas ha sido evaluado por DEKRA respecto a los requerimientos de la guía del CCN, superando satisfactoriamente la totalidad de las pruebas a las que su solución de vídeo identificación ha sido sometida.
Es importante destacar que el producto ha sido sometido a 70 ataques de fraude documental y 230 ataques de biometría facial en el entorno web mobile. El producto ha tenido que garantizar la detección automática del 100% de los casos sin considerar la intervención humana. Esto ha supuesto la superación de uno de los entornos de pruebas más exigentes desarrollados por un evaluador hasta la fecha.