Prestadores de servicios electrónicos de confianza y terceros: qué son

Trust Service Provider - es.png

21 diciembre 2022

Updated 25 enero 2023

Compartir

Los prestadores de servicios de confianza y terceros actúan de diversas formas para que empresas y usuarios interaccionen en entornos digitales seguros, confiables y optimizados. Estos players han transformado la forma en la que las operaciones online tienen lugar y su actividad está basada en las normas que marcan los reguladores tanto nacionales como internacionales en materia de seguridad informática, respaldo lo ocurrido en procesos de alto nivel de riesgo y transacciones electrónicas.

Al actuar como terceras partes, estos proveedores de servicios electrónicos garantizan que lo ocurrido al registrar una actividad en remoto y en el plano online se ha realizado bajo los estándares técnicos y normativos adecuados.

Deja que un experto analice tu caso

Qué es un prestador de servicios de confianza (TSP)

Acuerdo

Un prestador de servicios de confianza es una empresa o negocio que verifica la identidad de usuarios, clientes o negocios y aprueba operaciones de firma electrónica a través de la emisión y el almacenamiento de certificados digitales. También son denominados como Trust Service Providers (TSP) y las normas que marcan su reconocimiento como tales están recogidas en la directiva europea eIDAS de transacciones electrónicas.

Para entender bien el contexto de estos players indispensables en el ecosistema digital y en la economía del siglo XXI, debemos acercarnos al concepto de “servicio de confianza”. Este es un servicio digital que ofrecen a determinadas compañías especializadas y que contiene operaciones como la creación y la certificación de las firmas electrónicas, los sellos de tiempo o los envíos certificados a través de canales electrónicos.

Para que estos servicios de confianza puedan considerarse como cualificados, deben estar reconocidos por las instituciones nacionales e internacionales que marcan los requisitos y estándares de transacciones digitales. Los certificados obtenidos a través del uso de la firma electrónica cualificada y aplicados a las transacciones online son considerados cualificados. Igualmente, la aplicación de procesos de verificación de identidad con normas Know Your Customer (KYC) actualizadas convierte a los servicios de certificación de los prestadores de confianza en cualificados.

Los prestadores de servicios de confianza cualificados (PSCC) son capaces de realizar controles de identidad exhaustivos en los procesos de las compañías. Ya sea la apertura de una cuenta bancaria a través de la app de un banco o la contratación electrónica de un seguro del hogar o una tarifa de telefonía, los prestadores cualificados de servicios de confianza apoyan a la empresa que oferta sus servicios a través de tecnología intermediaria aplicada a sus casos de uso específicos y garantizan un entorno seguro en el que operar para que los usuarios no puedan ser víctimas de delitos como la suplantación de identidad o el blanqueo de capitales.

Autoridades de certificación cualificadas

Los prestadores de servicios de confianza también son denominados como autoridades de certificación cualificadas. Las compañías que operen a través de internet en la UE y Suiza necesitan estos servicios regulados de firma digital para poder realizar transacciones como la contratación, el registro y el alta con usuarios, así como dar la posibilidad a sus clientes actuales de ser autónomos en la gestión y utilización de productos y servicios a través de la red.

No hay una única forma de prestar servicios de confianza cualificados. La normativa permite optar por una de las cuatro opciones reglamentarias para que el proceso se convierta en garantista y seguro: la presencia física de un agente autorizado por la compañía, a distancia a través de la utilización de la QES (Firma Cualificada), online por medio de una verificación de identidad KYC según las normas marcadas por eIDAS o por otros métodos autorizados y equivalentes a los tres primeros a nivel técnico y de seguridad.

La expedición de los certificados digitales que sellan estas operaciones no es el único servicio de confianza que dan estos especialistas. El almacenamiento de estos y su reconocimiento para gestiones posteriores entra dentro de los estándares marcados por la regulación. La autenticación en sitios web con normas SCA (Strong Customer Authentication) también está recogida y es una gran ventaja de cara a la experiencia de usuario. 

Ahora, pueden obtenerse credenciales basadas en la identificación obligatoria que se produjo en el alta. Esto permite a los usuarios ingresar en las plataformas online de forma sencilla con sistemas de biometría facial, el método preferido por la mayoría. Podemos encontrar aquí un doble beneficio: la mejora en la agilidad y experiencia de usuario por una parte y un acceso mucho más robusto, respaldado y habilitante por otra.

Los sellos electrónicos cualificados también están siendo utilizados para mejorar la trazabilidad de las operaciones realizadas por los usuarios, certificando cada acción y asegurando un cumplimiento óptimo de la normativa gracias a la evidencia electrónica completa que aportan.

Definición de Tercero de Confianza

Ha habido confusión en torno a las diferencias y semejanzas entre los términos “tercero de confianza” y “prestador de servicios de confianza digital”. El primero fue el primer exponente de la creación de un ecosistema seguro en el que usuarios y empresas pueden operar con seguridad y respaldo jurídico y el segundo llegó para reafirmar y ampliar todo lo logrado por su antecesor.

Un tercero de confianza es un mediador que actúa como depositario de actividades realizadas entre dos partes; por norma general, un particular y una empresa en la compraventa de productos y servicios. Este sujeto está reconocido por leyes nacionales previas a eIDAS como por ejemplo la de Servicios de la Sociedad de la Información y del Comercio Electrónico en España y se ideó para hacer más seguro el comercio electrónico que empezaba a despuntar a principios de los 2000.

Las terceras partes de confianza son aquellas que custodian documentación y certificados de verificación durante un periodo de mínimo 5 años. Su cometido es el de dar fé de que un proceso se ha realizado conforme a los estándares adecuados y en términos de justicia. Como nodo neutro independiente e imparcial, es especialmente relevante en las actividades de industrias, sectores y áreas como el sector financiero, los seguros, las administraciones públicas, los recursos humanos o las operaciones B2B.

Todas las declaraciones de voluntad en formato digital son almacenadas y dan respaldo a los contratos y acuerdos que se han producido. De esta forma, el tercero de confianza imparcial o tercera parte de confianza aporta seguridad jurídica a cualquier transacción o acuerdo. Aunque pueden ser entidades o instituciones tanto públicas como privadas, la gran mayoría se corresponden con partners RegTech especializados.

El término tercero de confianza cambió en 2014 tras la aprobación del reglamento eIDAS y pasó a denominarse como el actual prestador de servicios de confianza digital. El acrónimo para las terceras partes de confianza era el de TTP (Trusted Third Party). Si bien, como indicamos, el concepto tercero de confianza ya no es oficialmente reconocido como tal, sigue siendo utilizado ampliamente en sectores como el bancario o el inmobiliario.

Tercero por interposición

Construir las pruebas y la evidencia electrónica a través de testigos interpuestos que formen parte de la transacción da un mayor respaldo respecto a la trazabilidad de las operaciones ocurridas y poder evitar cualquier tipo de modificaciones posteriores. Sólo los mejores partners RegTech como Tecalis pueden definirse también como terceros por interposición.

Un tercero por interposición es un proveedor de servicios de confianza que asegura bajo los mejores estándares un cumplimiento riguroso de la seguridad informática más exhaustiva. Hay muchos métodos por los que se pueden generar firmas electrónicas cualificadas y otro tipo de certificados pero no todos tienen la misma robustez.

La custodia digital debe contemplar conexiones seguras y protocolos SSL (Secure Socket Layer), SOAP (Simple Object Access Protocol) y OASIS (Organization for the Advancement of Structured Information Standards). Los más expertos saben cómo deben realizarse las labores de almacenamiento y archivo más allá del alojamiento simple en servidores seguros. La generación de certificados generalmente se realiza a través de PKIs (Public Key Infrastructure), lo que da un plus de interoperabilidad e integridad a la infraestructura a través del cifrado con claves únicas para los usuarios de la plataforma.

El uso de normas de firma electrónica XAdES, XAdES-XL o PKCS#7 está recogido por eIDAS y la LSSICE. Apostar por prestadores de servicios de confianza y terceros por interposición que los utilicen es una gran garantía de calidad. Es importante tener en cuenta que la validación de certificados ha de generarse independientemente de la autoridad de certificación emisora. Esto se realiza a través de servicios de consultas en los OCSP (Online Certificate Status Protocol) y CRL (Certificate Revocation List).

De esta forma, podemos hablar de prueba por interposición distribuida al contar con sellos de tiempo en cada una de las operaciones y pasos llevados a cabo en el total de un proceso de onboarding o firma electrónica, evitando manipulaciones ulteriores en cada fase. La obtención de hash en cada transacción y su validación con respaldo equivalente al de un proceso notarial consigue poder distribuir la matriz de prueba a lo largo de workflows en distintas fases en los sistemas Tecalis, con repeticiones almacenadas y trazadas. Esto permite dar una capacidad probatoria de máximo nivel.

Aportando seguridad y respaldo jurídico

En cualquier caso, este tipo de player más solvente actúa siempre desde una perspectiva experta ofertando muchos más servicios más allá de los recogidos por la regulación. Contar con un partner tercero de confianza o prestador de servicios cualificados no sólo es obligatorio para poder operar online en la mayoría de industrias sino un seguro para la sostenibilidad de las actividades core de un negocio

El hecho de actuar como autoridad de sellado de tiempo (TSA) o Time-Stamping Authority permite integrar este sistema en cada una de las operaciones de una compañía de una forma automatizada y ágil. Esto es especialmente relevante en procesos de contratación, operaciones con proveedores o registros y altas de nuevos clientes.

RegTech: Certificados electrónicos y mediadores digitales

Hombre con un portátil

Los servicios electrónicos de confianza van más allá de una mera implementación de los certificados cualificados. Ahora, startups RegTech innovadoras se han posicionado como partner de transformación tecnológica de grandes y pequeñas compañías en todo el mundo. Desde servicios de RPA hasta sistemas holísticos de adquisición de clientes, ofrecen servicios de muchos tipos y tecnología propietaria para habilitar la creación de los modelos de negocio de la actualidad.

La firma electrónica

Las plataformas digitales de firma electrónica han permitido a pequeños negocios convertirse en líderes de mercado gracias a la gran escalabilidad que ha aportado la solución. Desde la automatización de tareas de los equipos de recursos humanos hasta el lanzamiento según transacción de solicitudes de firma para la contratación de nuevos productos, la firma electrónica ha resultado ser un imprescindible en cualquier negocio del siglo XXI.

Las plataformas de firma digital no deben ser sólo apps con un único fin sino centros de contratación y negociación dinámicos con todas las funcionalidades específicas que pueden aprovechar esta tecnología para hacer crecer a un negocio. Atender a los casos de uso de negocios de todas las industrias e integrarse con los sistemas y la actividad de la compañía es imprescindible.

Comunicación y entrega electrónica certificada

Las comunicaciones electrónicas y entregas certificadas suponen un reto complicado en muchas empresas y organizaciones mientras que en otras consiguen crear modelos de negocio modernos y adaptados. Este tipo de envíos cualificados a través de canales digitales deben cuidarse y tratarse con el máximo rigor en industrias como la aseguradora, las telecomunicaciones, las finanzas y en general cualquier área de las utilities.

La función de un prestador de servicios de confianza cualificado no queda sólo en la emisión y creación de los certificados digitales sino también en la dotación de tecnología a sus clientes de tal forma que puedan facilitar el ejercicio de la actividad del negocio.

Verificación de identidad: KYC y controles anti-fraude

No todos los proveedores de servicios de confianza están integrando soluciones de trasposición digital del proceso Conoce a tu Cliente como el eKYC (electronic Know Your Customer) junto a procesos de firma electrónica. Es importante entender que el KYC debe realizarse igualmente de forma digitalizada y con el máximo rigor, evitando traslados posteriores del cliente a una ubicación presencial tras un onboarding o registro online.

El Know Your Customer (KYC) se perfila como un proceso reconocido por eIDAS y las normas AML más exigentes y que permite llevar a cabo operaciones que de otra manera no podrían tener lugar. La autenticación también es clave para el funcionamiento diario de la actividad de un negocio y debe realizarse de forma cualificada. Esto se consigue a través de la generación de credenciales basadas en los certificados cualificados emitidos durante el proceso KYC en el onboarding.

Solicita ya una demo de Tecalis, la plataforma integral de servicios de confianza

Regulación y legalidad de la confianza digital

Legalidad

La perspectiva legal de la implementación y regulación de los servicios de confianza digital se ve tanto a nivel nacional como internacional. Si bien la Unión Europea está a la cabeza, el resto de países del mundo aplica reglas similares, que en la mayoría de ocasiones se convierten en homólogas. 

La sexta directiva para la lucha contra el blanqueo de capitales (6AMLD), eIDAS, PSD2, SCA y el resto de medidas complementarias AML (Anti-Money Laundering) de la UE son la referencia a nivel internacional para entender el papel que juegan en la economía mundial los prestadores de servicios electrónicos de confianza.

eIDAS (Servicios de identificación electrónica, autenticación y confianza)

El reglamento eIDAS fija las normas en todo lo relativo a la identificación electrónica y los servicios de confianza de cara a la realización de transacciones electrónicas seguras en el mercado interior de la UE y deroga la Directiva 1999/93/CE. Con su aprobación, se ha instaurado un mercado común de más de 500 millones de usuarios a los que poder ofrecer productos y servicios a través de internet con total seguridad y sin necesidad de presencia física en todos los mercados.

Es decir, ahora, negocios de cualquier parte del mundo pueden asentarse en todos los mercados de 27 países de una forma sencilla y sin grandes inversiones. Además, los estándares de firma electrónica de Suiza ZertES son compatibles con los de eIDAS, siendo su ley federal homóloga.

Esta norma 910/2014 del Parlamento Europeo establece todos los estándares con los que deben cumplir estos players para ser considerados como un proveedor de servicios electrónicos de confianza cualificado y un tercero. Asegurarnos de que las soluciones de firma electrónica, contratación, comunicación certificada y autenticación que vamos a contratar para nuestros negocios e integrar a lo largo de la compañía cumplen de forma exhaustiva con este reglamento debe ser una prioridad.

LSSI

Como hemos visto anteriormente, los estándares técnicos a los que deben atenerse los prestadores de servicios electrónicos de confianza son muy concretos y están recogidos en normas como la LSSI (Ley de Servicios de la Sociedad de la Información) en países como España. Aún así, la más reciente Ley 6/2020, reguladora de determinados aspectos de los servicios electrónicos de confianza, ha dado pasos importantes para implementar conceptos asumidos por eIDAS a nivel internacional. Esta ley revoca entonces la obsoleta Ley 59/2003 (Ley de Firma Electrónica).

La base jurídica sobre la que se sustentan los servicios electrónicos de confianza y la actividad de las terceras partes va cambiando conforme la regulación se va actualizando y ampliando. Por eso, es importante contar con partners RegTech cercanos a la institución de la Autoridad de Certificación (AC) de tal forma que la solución que la compañía esté utilizando siempre cumpla con los estándares y requisitos normativos más recientes.

Listados de prestadores de servicios electrónicos de confianza

Los estados y determinados organismos públicos tanto nacionales como internacionales publican listados de prestadores de servicios electrónicos de confianza en los que apoyarse para seleccionar un player. El acceso a estas listas puede consultarse a través de las comunicaciones con la administración o consultando directamente con los partners RegTechs adecuados.

icon newsletter

Recibe el mejor contenido para liderar

logo9001logo2700logoeidaslogoeidaslogoeidaslogoeidaslogoeidaslogoeidas

Servicios de confianza, identidad y automatización

Tecalis crea producto digital disruptivo para hacer crecer y evolucionar a las empresas más innovadoras. Impulsamos procesos de crecimiento y transformación digital para llevar el futuro a las empresas hoy.

Logo Tecalis
Español