Índice
El mejor contenido en tu bandeja de entrada
Los prestadores de servicios electrónicos de confianza cualificados son aquellos players reconocidos y avalados por las instituciones nacionales e internacionales más exigentes en materia de transparencia y garantías de las transacciones online. La evolución de internet ha disparado el número de operaciones en remoto que se realizan cada día en distintas webs, lo que ha propiciado la aprobación de nuevas normas que regulan su funcionamiento.
En artículos anteriores, desgranamos los detalles de los prestadores de servicios electrónicos (TSP - Trust Services Providers) y los Terceros de Confianza. A continuación, vamos a explorar cómo son y qué listados integran aquellos que son considerados como cualificados.
¿Qué es un servicio de confianza?
Lo primero que debemos abordar es la definición del concepto “servicios de confianza”. Este término está recogido en el Reglamento eIDAS y se refiere a los servicios prestados por una entidad o empresa a otra en relación a sus operaciones y actividades.
Los servicios electrónicos de confianza son la creación, verificación y validación de firmas electrónicas, de sellos de tiempo digitales o el almacenamiento y procesamiento de certificados electrónicos relativos a operaciones sucedidas a través de medios digitales. Para ser considerados como tales, deben cumplir de forma exhaustiva con los requisitos exigidos por eIDAS (electronic IDentification, Authentication and trust Services), según su artículo 3.16.
Para que una empresa pueda utilizar el sello digital de confianza de la Unión Europea en la prestación de sus servicios, esta debe haber sido exhaustivamente examinada por distintos organismos oficiales que respaldan su actividad.
Qué son los prestadores de servicios de confianza cualificados (QTSP)
Los prestadores cualificados de servicios electrónicos de confianza - Qualified Trust Service Providers QTSP- son aquellos players que ofrecen servicios de confianza bajo un marco avalado por una institución capaz de emitir supervisiones cualificadas. Un organismo de supervisión concede cualificaciones a todas y cada una de las transacciones que desarrollan estos QTSP.
Del mismo modo, estos también ofrecen servicios de autenticación para sitios web, la custodia y preservación de las firmas digitales, sellos electrónicos y certificados que se crean en los procesos de verificación, autenticación y firma.
La identificación digital es uno de los puntos más importantes que ocupan a los prestadores de estos servicios, confirmando que la persona que hay detrás de la pantalla antes de realizar una transacción electrónica es realmente quien dice ser. Para esto, se realizan procesos de onboarding con estándares Know Your Customer que en tiempo real ejecutan cientos de controles sobre los documentos de identidad oficiales de personas físicas o jurídicas y sobre ellos mismos (biometría de las personas físicas o de los UBOs de las empresas a ser verificadas - KYB).
La contratación a través de medios digitales se realiza de forma totalmente remota con aplicaciones de firma digital gracias a los proveedores de servicios de confianza cualificados, que integran sellados de tiempo con trazabilidad completa en los informes de auditoría de un documento firmado. Por otro lado, las notificaciones electrónicas - también recogidas en el reglamento eIDAS - son enviadas a través de los QTSP para que estas tengan valor probatorio ante un tribunal, incluyendo opciones como el SMS o email certificado.
Las plataformas de servicios de confianza también ofrecen funcionalidades similares a las de cualquier gestor documental pero con unos estándares más específicos basados en lo recogido en normativas como NIS2, el RGPD y eIDAS. La recogida, tratamiento y custodia de información sensible como documentación de identidad y contratos de operaciones de alto nivel de riesgo debe ser subida y almacenada a los sistemas digitales conforme a unos requisitos muy concretos.
Organismos que regulan a los QTSP
Cada país estado miembro de la Unión Europea cuenta con un organismo de certificación designado por la Comisión Europea y el Gobierno de la nación en cumplimiento con lo especificado en la normativa eIDAS. En el caso de España, por ejemplo, se trata del Ministerio de Ministerio de Asuntos Económicos y Transformación Digital así como de distintas Secretarías de Estado del Ministerio de Industria, Comercio y Turismo (Sociedad de la Información y Agenda Digital).
En la mayoría de sectores, contar con un Prestador de Servicios de Confianza Cualificado no es sólo de vital importancia sino un requisito legal para poder operar en determinados mercados y realizar digitalmente operaciones de un nivel de riesgo medio y alto. En concreto, la industria de las telecomunicaciones y las áreas BFSI (Banca, Servicios Financieros y Seguros) deben contar por ley con partners RegTech que sean QTSP oficiales para poder ofrecer productos y servicios a través de internet.
Esto aporta una completa y absoluta seguridad jurídica de cara a cualquier eventualidad, ya que las pruebas recogidas por el QTSP serán utilizados como prueba en cualquier procedimiento judicial.
El motivo por el que es necesario contar con un partner RegTech QTSP es porque sólo ellos están habilitados para ofrecer servicios de confianza cualificados, algo que exige la regulación para poder operar y la única forma de dar validez y garantías a las operaciones que un negocio lleva a cabo en internet. Pese a que muchos players parecen ofrecer servicios de confianza (verificación de identidad KYC, controles AML, servicios de autenticación biométrica, contratación con firma electrónica…) la mayoría no son cualificados. Es decir, la gran parte de empresas que ofrecen este tipo de servicios no cuenta con la validación ni el respaldo de las instituciones, lo que invalida el proceso a nivel legal y jurídico pese a que se haya realizado de una forma técnica similar.
Listados oficiales de prestadores cualificados de servicios electrónicos de confianza
Cada país miembro de la Unión Europea publica periódicamente una lista de prestadores cualificados de servicios electrónicos de confianza que incluye a todos los players del mercado que están avalados por su gobierno e instituciones para la emisión de certificados cualificados y la oferta de este tipo de servicios de confianza. Esto da validez a las firmas electrónicas o los certificados que hayan sido sellados a través de las soluciones digitales creadas por estas empresas y sus clientes.
Aunque pudiera parecer que existe burocracia al respecto de cómo contar con un proveedor cualificado de servicios de confianza, la realidad es completamente la contraria. Gracias al surgimiento de startups tecnológicas con un enfoque SaaS, cualquier empresa puede contar en minutos con sistemas basados en servicios de confianza cualificados. Del mismo modo, los usuarios particulares también pueden hacerlo enviando firmas o comunicaciones electrónicas en plataformas web aprobadas por los reguladores que designan a los QTSP de cada país.
En España, el listado oficial de confianza de prestadores cualificados de servicios electrónicos de confianza (TSL) es público y puede consultarse y descargarse a través de la sede electrónica del Ministerio de Asuntos Económicos y Transformación Digital. Además, se facilitan modelos de suscripción gratuita de tal forma que aquellos usuarios registrados reciban automáticamente una notificación cuando se produzcan cambios en esta lista.
Este listado incluye por partes los distintos tipos de servicio de confianza, cualificados o no, que ofrecen aquellos players validados por las instituciones nacionales e internacionales que supervisan el mandato eIDAS:
- Servicio de expedición de certificados electrónicos cualificados de firma electrónica.
- Servicio de expedición de certificados electrónicos cualificados de sello electrónico.
- Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web.
- Servicio de expedición de sellos electrónicos cualificados de tiempo.
- Servicio cualificado de entrega electrónica certificada.
- Servicio cualificado de validación de firmas electrónicas cualificadas.
- Servicio cualificado de validación de sellos electrónicos cualificados.
- Servicio cualificado de conservación de firmas electrónicas cualificadas.
- Servicio cualificado de conservación de sellos electrónicos cualificados.
- Servicio de videoidentificación en la expedición de certificados cualificados.
- Servicios de expedición de certificados electrónicos cualificados de sello electrónico PSD2.
- Servicios de expedición de certificados electrónicos cualificados de autenticación en sitios web mediante estándares PSD2 - SCA.