Certificats digitals a l’AA.PP. ¿Qui va signar què?

Article original publicat a BYTIC Media, el 19/10/2022

Fa anys que l’Administració Pública espanyola avança en la seva transformació digital, una transformació orientada tant a millorar l’accessibilitat als tràmits per part dels ciutadans, com a la gestió interna, que permeti a les institucions un control més exhaustiu sobre els nombrosos processos que cada es generen en aquest tipus d’entitats.

Un procés en què, a més, saber en cada moment qui i quan va autoritzar una compra o un contracte en nom d’una institució pública resulta vital de cara a una transparència més gran de la gestió pública i les seves actuacions. 

Qualsevol mena d’organisme públic, ja sigui un ajuntament, una agència ministerial, governs de les comunitats autònomes, etc. compta amb un elevat nombre d’empleats, aplicacions i xarxes que requereixen un control i una gestió ordenada i segura, especialment pel que fa als certificats digitals que utilitzen diàriament els empleats públics a la feina, així com sobre els processos automatitzats que en depenen.

Disposar d’aquest control sobre el seu ús és la millor manera de prevenir possibles riscos, com ara la suplantació d’identitat i el frau, o la impossibilitat que els usuaris accedeixin als seus serveis en línia, cosa que podria dificultar diferents tràmits administratius i fer malbé la reputació de l’organització en qüestió.

D’altra banda, l’administració espanyola ha de complir les normatives europees vigents que, en el cas de la identitat digital i la signatura electrònica, ve regulat pel reglament eIDAS.  

L’eIDAS defineix els estàndards i les normes per a la signatura electrònica, sigui simple, avançada o qualificada, així com per a l’emissió de certificats qualificats i els serveis de confiança en línia, alhora que regula les transaccions electròniques i la seva gestió.

Els certificats digitals són fitxers informàtics que s’utilitzen per proporcionar una identitat digital a una persona, organització o dispositiu electrònic.

Són emesos per Autoritats de Certificació (AC) reconegudes -sovint els mateixos organismes públics s’estableixen com a tals, com en el cas d’AOC, IZENPE o ISTEC, per exemple- i es basen en criptografia asimètrica. És a dir, contenen una clau pública i una de privada. La primera està disponible per a tothom, mentre que la segona només la coneix el titular del certificat. D’aquesta manera, es garanteix la privadesa de la informació intercanviada entre dos usuaris.

Les Autoritats de Certificació, siguin d’origen privat o públic, són les responsables d’expedir certificats de signatura electrònica per a funcionaris, personal laboral, estatutari i personal autoritzat al servei de l’Administració Pública, òrgan, organisme públic o entitat de dret públic, exercici de les seves funcions per al subscriptor del certificat. 

El certificat digital agilitza la realització de diferents tràmits a través d’Internet, cosa que redueix temps, i permet fer tota mena de gestions per part dels empleats públics: des del tancament d’un contracte públic formalitzant-lo mitjançant Firma Digital, fins a qualsevol transacció financera que requereixi identificació, accés a determinades plataformes amb informació sensible que estigui condicionada a un accés segur i acreditat, etc.

Però de vegades, les organitzacions no compten amb les eines que els permetin saber de manera ràpida i senzilla “qui va signar què”, amb els consegüents problemes de control i seguretat que això suposa. Per això, és recomanable l’ús de solucions de gestió integral de Certificats Digitals i Firma Electrònica Remota que permeten a cada empleat autoritzat utilitzar els seus certificats digitals assignats per autenticar i signar, així com per dur a terme diferents tasques corporatives, evitant el risc d’ús incorrecte i de frau.

Disposar d’una solució de gestió centralitzada de certificats digitals i signatura electrònica remota aporta nombrosos avantatges a les institucions, ja que permet:

• Emetre i administrar certificats digitals qualificats sense haver d’instal·lar-los manualment a cada dispositiu, a més de poder gestionar certificats de tercers. La seva administració es realitza mitjançant els rols d’administrador, propietari de certificat, auditor, usuari final o administrador d’abast, permetent als usuaris treballar amb els certificats com si estiguessin instal·lats a les seves estacions de treball.
  

• Controlar-ne l’ús (qui els ha fet servir, quan, des de quin dispositiu, on i per a què), així com la seva renovació i revocació.
  

• Implementar polítiques estrictes d’ús per als certificats en funció d’usuaris o grups de directoris, data i hora, origen de la IP, programa o URL d’accés, etc. advertint sobre el propòsit d’ús del certificat i amb possibilitat de sol·licitar referències en el processament de la signatura.
  

• Limitar les pèrdues econòmiques degudes a fallades en el compliment i la continuïtat de les operacions a causa de certificats caducats, gestionant avisos per a la seva renovació i control del cicle de vida.
  

D’aquesta manera, les organitzacions poden tenir el control de tots els seus certificats amb més grau de seguretat i fiabilitat.