Está en la página 1de 30

Recomendaciones sobre el uso de los sistemas de autenticacin en los servicios electrnicos de la Administracin pblica vasca

INFORME Autor: Equipo de Innovacin - Sistemas de Autenticacin e Identificacin Fecha de creacin: Vitoria-Gasteiz, 21/12/2010 Fecha de revisin: 25/01/2011 Versin del documento: 01 Fichero: PIP-Grupo de Innovacion _Autenticacion _informe.doc

ndice de contenido
1. 2. 3. 4. 5. 6. 7. Introduccin ............................................................................................................................................. 2 Descripcin del reto.................................................................................................................................. 4 Identificacin / Autenticacin .................................................................................................................. 5 Anlisis de algunos mecanismos de identificacin.................................................................................... 7 Tipos de servicios y nivel de identificacin requeridos ........................................................................... 13 Tipos de trmites y nivel de identificacin.............................................................................................. 16 Casos y ejemplos .................................................................................................................................... 18 Conclusiones........................................................................................................................................... 23 Anexo I: Grupo de Trabajo...................................................................................................................... 27

8. 9.

10. Anexo II: Legislacin y documentacin .................................................................................................. 28

1. Introduccin
La Ley 11/2007 de acceso electrnico de los ciudadanos a los servicios pblicos (LAECSP) establece como un derecho de la ciudadana la posibilidad de comunicarse con la Administracin Pblica mediante medios electrnicos. Se trata de una novedad verdaderamente importante, puesto que se convierte en derecho lo que hasta ese momento era solo una opcin cuya puesta en funcionamiento quedaba fundamentalmente en manos de la Administracin, y no de la ciudadana. La institucin de este derecho implica, por tanto, para la Administracin, una obligacin: la de dotarse de instrumentos que permitan la creacin de una ventanilla electrnica a travs de la cual cualquier persona se pueda comunicar con la administracin cuando ella lo decida y desde donde ella quiera. En este proceso de adaptacin progresiva se incluye la necesidad de utilizar medios de identificacin y autenticacin que sean seguros, tanto para la Administracin como para la ciudadana. Cuando se habla de medios de identificacin y autenticacin seguros habitualmente se habla de 1 certificados digitales ; en este aspecto, Espaa destaca sobre la media europea en nmero de DNIs electrnicos emitidos, ya que actualmente supera los 10 millones de documentos. Sin embargo, el nmero de ciudadanos que lo usan es, segn las ltimas estadsticas, es bastante reducido. Los motivos de esta escasa utilizacin parecen ser:
2

La poca familiaridad de los ciudadanos con su uso Los problemas en su utilizacin (problemas a la hora de instalar los lectores y el software necesario para su utilizacin, drivers, compatibilidad de navegadores, etc.).

Segn datos del INE del 2010 el uso de otros certificados de firma electrnica reconocidos es considerablemente superior al de DNI electrnico, as en Euskadi aunque el 29,7 % de la poblacin dispone de DNI electrnico solo el 3,4% lo usa para realizar tramitaciones por internet con la Administracin Pblica, sin embargo el uso de otros certificados electrnicos reconocidos se eleva hasta el 11,4%. Con esto se puede concluir que las campaas de difusin, formacin, asistencia en el uso y la calidad de los servicios prestados por los prestadores de servicios de certificacin influyen directamente en el uso de los certificados electrnicos por parte de los ciudadanos. Dentro de los servicios pblicos digitales, en la actualidad, los titulares del DNI electrnico pueden realizar ms de 1.000 actuaciones electrnicas con la Administracin. Sin embargo, Espaa, salvo en la gestin de tributos, se encuentra por detrs de muchos otros pases en uso de la eAdministracin por parte de la sociedad, lo que se debe a: 1. 2. El retraso generalizado en el uso de las TICs de los usuarios La complejidad de algunos de los procedimientos electrnicos creados (se impone un rediseo de algunos de los flujos o de la normativa que aplica a cada procedimiento, que en su momento naci sin tener en cuenta la existencia de una va telemtica). La escasa difusin que realizan las administraciones sobre los procedimientos disponibles de forma telemtica. La escasa disponibilidad en numerosas administraciones regionales y locales.

3. 4.

Un certificado digital es un documento firmado electrnicamente por un prestador de servicios de certificacin que vincula la identidad de cada usuario con las herramientas de firma electrnica (claves criptogrficas), dndole a conocer como firmante en el mbito telemtico

En relacin a la utilizacin de la firma electrnica, la mencionada Ley 11/2007 recoge el uso del DNI electrnico para la tramitacin con la Administracin. Para que los ciudadanos soliciten y obtengan el Certificado Digital es preciso que lo hagan a un Prestador de Servicios de Certificacin Electrnica. En el mbito de la CAPV destacamos la extensin de distintos tipos de tarjetas de persona fsica con certificado electrnico, como son la tarjeta ONA, y tarjeta de ciudadano, que permiten la relacin con las administraciones pblicas vascas y otros organismos a nivel estatal, en un extenso nmero de trmites on line. Tambin es necesario sealar que en el mbito empresarial, tanto pequea como mediana y gran empresa, la firma electrnica reconocida est implantada en un alto grado, existiendo numerosos proyectos donde la firma electrnica reconocida se ha utilizado como sistema de autenticacin con xito, como por ejemplo, Proyecto IKS de Medio ambiente del Gobierno Vasco, presentacin de impuestos con las tres diputaciones vascas, solicitud de ayudas para SPRI, etc.

2. Descripcin del reto


En el contexto descrito anteriormente, el Plan de Innovacin Pblica (PIP), impulsado por la Viceconsejera de Administracin Pblica del Gobierno Vasco, ha puesto en marcha un proyecto para facilitar el acceso a los servicios de la e-administracin, para lo cual se pretenden buscar sistemas de identificacin y autenticacin amigables para el usuario final que, sin poner en peligro la relacin entre usuario y Administracin, facilite a la ciudadana el uso de esos servicios electrnicos. As pues, el reto consiste en proponer sistemas de identificacin y autenticacin complementarios a la firma electrnica que cumplan los siguientes requisitos: Que sean fciles de usar por parte de una persona sin que obligatoriamente tenga que tener grandes conocimientos relacionados con las TICs (Tecnologas de la Informacin y Comunicacin). Que se puedan implantar en el corto plazo. Que ofrezcan garantas (de autenticidad, proteccin de datos, etc.) en proporcin a las caractersticas y riesgos de cada servicio.
4

Sistemas de autenticacin fciles de usar, implantables en el corto plazo y que ofrezcan garantas

3. Identificacin / Autenticacin
Cuando se habla de sistemas de identificacin y autenticacin es necesario definir previamente qu se entiende por sistema de identificacin y autenticacin/autorizacin: Se entiende por mecanismo de identificacin aquel del que se obtiene la identidad de una persona y datos relacionados con la misma (ej nombre, direccin, telfono, etc) para ser utilizados en un servicio on-line. Es importante distinguir entre identificacin y autenticacin-autorizacin: o o Identificar. Se puede definir como reconocer si una persona o cosa es la misma que se supone o se busca. (diccionario RAE) Autenticar podemos plantear dos definiciones: 1. Es la acreditacin por medios electrnicos de la identidad de una persona o ente, del contenido y voluntad expresa en sus operaciones, transacciones y documentos, y de la integridad y autora de aquellos. 2. Procedimiento de comprobacin de la identidad de un usuario. Mediante el mismo se garantiza que el usuario que accede a un sistema de ordenador es quin dice ser. (diccionario jurdico Aranzadi).

Ejemplos de servicios on-line que necesitan identificar al tercero que interacta con el servicio:
BLOG Cuando un usuario hace un comentario en un BLOG, habitualmente se identifica para que quede constancia de quin es ese usuario que hace el comentario (esto no es bice para que tambin se puedan permitir comentarios annimos). Las herramientas para la identificacin solo estn en manos del usuario que las crea. En muchos casos no coincide con sus datos personales. En algunos casos las solicitudes no requieren autenticacin (pueden ser servicios online libres o abiertos), sin embargo, si que es necesario aportar datos de la identidad del solicitante. En otros casos se requerir la firma electrnica reconocida. Cuando se trata de acceder a datos (Ej.: expediente, carpeta personal, , etc.), es imprescindible identificar y adems autenticar. Una vez identificado el tercero que quiere utilizar el servicio on-line hay que: Identificarle y Autenticarle en el servicio-online: dar acceso al usuario utilizando la identidad aportada. Comprobar si est autorizado para consultar los datos a los que quiere acceder. En otros casos se requerir la firma electrnica reconocida.

Algunos casos de solicitud en una tramitacin Algunos casos de Consulta de expedientes o carpeta personales

Como mecanismos de identificacin: El DNI electrnico o la tarjeta ONA y la tarjeta ciudadano son mucho ms que mecanismos de identificacin ya que aportan a un servicio on-line adems de informacin sobre la identidad de una persona (nombre, dni, etc.), la posibilidad de realizar firma electrnica reconocida. Una cuenta de una red social (Ej.: twitter, Facebook) tambin pueden ser utilizados como mecanismos para aportar datos de identidad, aunque obviamente estos datos son mucho menos fiables.

Mecanismos de identificacin como el DNI electrnico, la tarjeta ONA y la tarjeta ciudadano que adems de identificar, proporcionan otras funcionalidades: Firmar electrnicamente, al realizarlo con un certificado de firma electrnica reconocido, equivaldr a la firma manuscrita. Garantizar la autora y no repudio de documentos o acciones en servicios on-line Otros relacionados con la firma: sellados de tiempo. En definitiva:

Un mecanismo de identificacin permite conocer la identidad y datos asociados a esta del usuario que interacciona con un servicio on-line.

A travs del certificado reconocido de firma electrnica a se garantiza por un Prestador de Servicios de Certificacin Electrnica la autenticidad, confidencialidad, integridad y no repudio. La identidad puede ser utilizada para autenticar y posibilitar al usuario en el servicio on-line y discriminar qu puede ver y qu puede hacer en el servicio. En el escenario ms sencillo (y ms habitual), una vez identificado de un usuario, se le autentica en el servicio on-line y accediendo a sus datos.

4. Anlisis de algunos mecanismos de identificacin


En el presente punto se analizan algunos mecanismos de identificacin teniendo en cuenta:

Caractersticas de seguridad Caractersticas de confiabilidad

Cmo de seguro es el sistema en cuanto a la custodia de claves? Es posible que alguien pueda suplantar a otra persona fcilmente?

Retos del Despliegue Posibles utilizaciones (otros propsitos)

Cmo de confiables son los datos de identidad?, se puede fiar la administracin de que quin se est identificando es quien dice ser?Qu papel desempean los Prestadores de Servicios de Certificacin Electrnica como terceros que dan fe en el mbito telemtico o electrnico? Cmo de fcil es el despliegue en la ciudadana de estos mecanismos de autenticacin? Los sistemas o mecanismos de identificacin se pueden utilizar para diferentes propsitos: Identificacin Obtener datos de la identidad de la persona: nombre, apellidos, direccin, DNI, telfono, otras direcciones de contacto, etc. Autenticacin Para permitir tcnicamente el acceso o no acceso a aplicaciones y los datos que obran en las mismas del usuario. Para garantizar la autora y no repudio de determinadas operaciones

}
Firma

Los mecanismos de identificacin analizados son los siguientes: 1


2 3 4 5 6 7 Usuario + contrasea Usuario + Contrasea de identificacin + contrasea de firma (OTP enviada al telfono mvil) Usuario + Contrasea de identificacin + Contrasea (OTP generada en un dispositivo hardware) Firma electrnica avanzada (certificados software) Firma electrnica reconocida (certificados en tarjeta criptogrfica u otro dispositivo seguro de creacin de firma) Usuario + contrasea de identificacin + contrasea de firma Usuario + contrasea de identificacin + juego de barcos
2

Adems de estos mecanismos de identificacin (casi se puede hablar de tecnologas), merece la pena estudiar otras estrategias de identificacin delegada basadas en convenios con otras entidades que son las responsables de identificar al usuario utilizando el mecanismo/tecnologa que consideren oportuno- y de pasar la informacin de identificacin a la Administracin.

OTP

One Time Password contrasea de un solo uso La contrasea es generada por algn sistema, utilizada y descartada para usos posteriores, es decir, en la siguiente operacin de identificacin se genera una nueva contrasea.

Dentro de estas estrategias de identificacin delegada se podran nombrar como ejemplos paradigmticos:
8 9 Identificacin delegada a una entidad en la que se confa (Ej.: Entidad Financiera) Identificacin delegada a una entidad en la que NO se confa (Ej.: red social)

A continuacin se analiza cada uno de estos mecanismos de identificacin en funcin de los parmetros definidos anteriormente

4.1. Caractersticas de Seguridad


En este punto se analiza cmo de seguro es un sistema de identificacin como para evitar la suplantacin de identidad. Se hace una divisin entre mecanismos de identificacin fuertes y dbiles (ms seguros / menos seguros) en funcin del nmero de factores de seguridad que poseen:

Factores

El nivel de seguridad de un sistema de identificacin depende del nmero de factores que intervienen y que se clasifican en:
Algo que el usuario es (biometra) Algo que el usuario tiene Huella dactilar, patrn retiniano, reconocimiento de voz Tarjeta criptogrfica, token OTP (One time Password o Clave de un nico uso), telfono mvil, tarjeta de proximidad, banda magntica, certificados en software Contrasea, frase, nmero de identificacin personal, nmero PIN

Algo que el usuario sabe


El nivel de seguridad de un sistema depende del nmero de factores que intervienen

Nivel

Fuerte (ms seguro)

Dbil (menos seguro)

Se utilizan por lo menos dos de los tres factores citados arriba. De este modo, si uno de los factores se ve comprometido, todava existe un segundo factor que garantiza la seguridad Se utiliza solo uno de los factores de autenticacin

4.2. Caractersticas de Confiabilidad


En este punto se analiza cmo de confiable es un sistema de identificacin como para dar por buenos los datos de la identidad. Se hace una divisin entre mecanismos de identificacin confiables y no confiables:

Confiables

Un mecanismo de identificacin puede ser confiable si se pueden dar por buenos los datos del tercero que se identifica Ej.: Para emitir el DNI o la ONA alguien ha validado fsicamente que el/la solicitante es quien dice ser No se puede asegurar que la persona que se identifica y sus datos son buenos Ej.: Un sistema de usuario / password donde el usuario se auto-registra (o el usuario de una red social) NO es confiable ya que NO hay garanta de que la identidad corresponda a la persona que dice ser.

NO confiable

Es importante sealar que aunque un sistema de identificacin tenga una seguridad dbil (Ej.: usuario password), los datos de la identificacin pueden ser confiables Ej.: La identidad de un usuario que se ha autenticado con el usuario/password de la tarjeta ciudadana de Vitoria-Gasteiz es confiable en el caso de que previamente haya identificado al ciudadano?

Hay que distinguir entre seguridad y confiabilidad del mecanismo de identificacin

4.3. Otras caractersticas analizadas


Requisitos previos No repudio Tareas a realizar para implementar el sistema de autenticacin
Hace referencia a si el usuario negar la autora de una operacin (gestin) realizada de forma telemtica. Posibles valores:

S: El sistema de autenticacin garantiza el no repudio de la gestin realizada telemticamente. No: El sistema de autenticacin NO garantiza el no repudio de la gestin realizada telemticamente.

Firma manuscrita

Posibles valores:

S: La firma electrnica realizada con el sistema de autenticacin equivale a la firma manuscrita. No: La firma electrnica realizada con el sistema de autenticacin NO tiene la validez de la firma manuscrita.

Vlido en otras entidades

Posibles valores:

S: El sistema de autenticacin es vlido en distintas entidades. No: El sistema de autenticacin solo es vlido en la entidad propietaria. Problemas en la implementacin y uso del sistema de autenticacin Ventajas del sistema de autenticacin

Problemas Ventajas

4.4. Tabla de mecanismos de autenticacin


A continuacin se resume el anlisis en base a los parmetros anteriores:

SEGURIDAD
Tipo de Identificacin Usuario + Contrasea Factores Nivel Vlido en otras entidades

CONFIANZA
La identidad es confiable Normalmente NO
(depende de si se identifica presencialmente al usuario)

Retos del Despliegue


Requisitos previos Registro previo Procedimiento de identificacin y asignacin de usuarios y contraseas consistente.

USOS
No repudio Firma manuscrita

1 factor
[algo que se sabe]

Dbil

NO
Salvo convenio expreso entre las dos partes.

No

No

Usuario + Contrasea de identificacin 2 factores + contrasea de firma (OTP enviada al [algo que se sabe (1) telfono mvil) (usuario) + algo que
(1) Se dispone de un usuario, una

Fuerte

NO

SI
Para facilitar el dispositivo OTP normalmente hay que identificar presencialmente al usuario

se tiene (mvil)]

contrasea de identificacin y una contrasea de firma que se enva en el momento de la identificacin / firma al telfono mvil del usuario.

Registro previo con identificacin presencial. Procedimiento de identificacin y asignacin de usuarios y contraseas consistente. El usuario debe contar con un mvil y aceptar que se le enven las contraseas. Sistema de generacin y envo de contraseas OTP al mvil Registro previo con identificacin presencial. Procedimiento de identificacin y asignacin de usuarios y contraseas consistente. Distribucin a los usuarios el dispositivo de generacin de contraseas OTP.

No

No

Usuario + Contrasea de identificacin 2 factores + Contrasea (OTP generada en un [algo que se sabe (2) dispositivo hardware) (usuario) + algo que
(2) Se dispone de un usuario, una

Fuerte

No

No

No

contrasea de identificacin y una contrasea de firma que genera un dispositivo que tiene el usuario.

se tiene (dispositivo OTP)]

Firma electrnica avanzada


(certificados software)

2 factores

Avanzada

SI

SI

Obtencin de un certificado reconocido

No

[algo que se tiene + Asegura algo que se sabe] fehacientemente la identidad del usuario

Firma electrnica reconocida 10 (certificados en tarjeta criptogrfica u otro

2 factores

Avanzada

SI

SI

Obtencin de un certificado reconocido

dispositivo seguro de creacin de firma)

[algo que se tiene + Asegura fehacientemente algo que se sabe] la identidad del usuario

Usuario + contrasea de identificacin 1 factor + contrasea de firma [algo que se sabe


(usuario + contraseas)]

Dbil

NO
Salvo convenio expreso entre las dos partes.

SI
Normalmente antes de facilitar la contrasea de firma o el juego de barcos se identifica presencialmente al tercero

Registro previo con identificacin presencial. Procedimiento de identificacin y asignacin de usuarios y contraseas consistente. Registro previo con identificacin presencial. Procedimiento de identificacin y asignacin de usuarios y contraseas consistente.

No

No

Usuario + contrasea de identificacin (3) + juego de barcos

2 factores
[algo que se tiene (juego de barcos) + algo que se sabe (usuario + contrasea)]

Fuerte

NO
salvo convenio expreso entre las dos partes

No

No

A continuacin se analizan las ventajas y posibles problemas de cada uno de los sistemas de identificacin analizados:

Tipo de Identificacin
Usuario + Contrasea Uso sencillo.

Ventajas

problemas
Olvido de contraseas. Necesidad de implementar un sistema de recuperacin de contraseas. Suplantaciones de identidad, phishing. No se pueden realizar trmites para los que haga falta firma manuscrita. Olvido de contrasea de acceso. Acceso en consulta a datos poco seguro En menor medida, pero tambin es vulnerable al phishing. Necesidad de implementar un sistema de recuperacin de contraseas. Necesidad de implementar un sistema OTP No se pueden realizar trmites para los que haga falta firma manuscrita. Olvido de contrasea de acceso. Acceso en consulta a datos poco seguro En menor medida, pero tambin es vulnerable al phishing. Necesidad de implementar un sistema de recuperacin de contraseas. Necesidad de implementar un sistema OTP Necesidad de distribuir un dispositivo generador de claves OTP No se pueden realizar trmites para los que haga falta firma manuscrita. Necesidad de instalacin de los certificados de la autoridad de certificacin. No se pueden realizar trmites para los que haga falta firma manuscrita.

Usuario + Contrasea de identificacin + Contrasea de firma (OTP enviada al telfono mvil)

Uso sencillo

Usuario + Contrasea de identificacin + Contrasea de firma (OTP generada en un dispositivo hardware) 11

Uso sencillo

Firma electrnica avanzada (certificados software)

Emitidos por Prestadores de Certificacin que actan como terceros de confianza para las dos partes. Sistema con reconocimiento universal en todos los mbitos No es posible la falsificacin de la firma Funcionalidades adicionales: Cifrado de datos, firma digital Ventajas de los certificados en software. Equivale a la firma manuscrita. Mayor nivel de seguridad al estar el certificado albergado en un dispositivo seguro de creacin de firma. Los soportes fsicos estn evolucionando (token USB, telfono mvil, memorias SD) facilitando su uso Uso sencillo.

Firma electrnica reconocida (certificados en tarjeta criptogrfica u Otro dispositivo seguro de creacin de firma)

Necesidad de instalacin de los certificados de la autoridad de certificacin. Necesidad de instalacin del lector de tarjetas. Necesidad de instalacin del software de acceso al chip de la tarjeta.

Usuario + contrasea de identificacin + contrasea de firma

Olvido de contraseas. Suplantaciones de identidad No se pueden realizar trmites para los que haga falta firma manuscrita. Olvido de contrasea de acceso. Acceso en consulta a datos poco seguro. No se pueden realizar trmites para los que haga falta firma manuscrita.

Usuario + contrasea de identificacin + juego de barcos

Uso sencillo.

4.5. Retos del Despliegue


El despliegue de un sistema de identificacin plantea una serie de retos, entre otros:

Infraestructura que da soporte al sistema de autenticacin Dispositivos en el cliente que se identifica

Verificacin de identidades

Cmo de costosa es la infraestructura que da soporte al sistema? Es necesario instalar algn tipo de hardware en el equipo cliente que utiliza el ciudadano? Cmo se distribuyen estos dispositivos? Es necesaria formacin especfica? Cmo se verifica la identidad de la persona? Ej.: Con la identificacin presencial segn los requerimientos
de la ley de firma electrnica. Sistema de usuario / password donde el propio usuario se da de alta (dejar en manos del usuario todo el proceso)

12

}
Funcionalidades del mecanismo de autenticacin

En principio si la identificacin que requiere un acto presencial sera ms costosa, pero partimos del alto nmero de identificaciones ya realizadas, por lo que por otra parte estara ya realizada en parte. En el segundo caso habra que estar al coste de las aplicaciones y sera la menos segura. Qu actuaciones de ndole jurdico permite el sistema desplegado? Permite la identificacin, autenticacin y firma equivalente a la firma manuscrita?

5. Tipos de servicios y nivel de identificacin requeridos


1. Aspectos Jurdicos Puede resultarnos esclarecedor, desde un punto de vista jurdico, lo establecido en la Ley 30/2007 de contratos del sector pblico (en adelante LCSP). En su disposicin adicional decimonovena regula en empleo de los medios electrnicos, informticos y telemticos y establece que stos se ajustarn entre otras a la siguiente norma: (en el apartado f) Todos los actos y manifestaciones de voluntad de los rganos administrativos o de las empresas licitadoras o contratistas (es decir, tanto Administracin, como empresarios- personas jurdicas- o personas fsicas) que tengan efectos jurdicos y se emitan tanto en fase preparatoria como en las fases de licitacin, adjudicacin y ejecucin del contrato deben de ser autenticados mediante una firma electrnica reconocida, de acuerdo a la Ley 59/2033, de 19 de diciembre, de firma electrnica. Los medios electrnicos, informticos y telemticos empleados deben poder garantizar que la firma se ajusta a las disposiciones de esta norma.

Si tenemos en cuenta, por lo tanto, las disposiciones de la Ley de Firma Electrnica, respecto de la firma reconocida, en su artculo
13

Artculo 3. Firma electrnica, y documentos firmados electrnicamente. 1. La firma electrnica es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante. 2. La firma electrnica avanzada es la firma electrnica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. 3. Se considera firma electrnica reconocida la firma electrnica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. 4. La firma electrnica reconocida tendr respecto de los datos consignados en forma electrnica el mismo valor que la firma manuscrita en relacin con los consignados en papel. Por lo tanto la firma electrnica reconocida se caracteriza por: Es una firma electrnica avanzada (permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculado al firmante de manera nica y a los datos a que se refiere y ha sido creada por medios que el firmante puede mantener bajo su exclusivo control) BASADA EN UN CERTIFICADO RECONOCIDO:

Artculo 11. Concepto y contenido de los certificados reconocidos. 1. Son certificados reconocidos los certificados electrnicos expedidos por un prestador de servicios de certificacin que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobacin de la identidad y dems circunstancias de los solicitantes y a la fiabilidad y las garantas de los servicios de certificacin que presten.

2. Los certificados reconocidos incluirn, al menos, los siguientes datos: a. b. c. d. e. La indicacin de que se expiden como tales. El cdigo identificativo nico del certificado. La identificacin del prestador de servicios de certificacin que expide el certificado y su domicilio. La firma electrnica avanzada del prestador de servicios de certificacin que expide el certificado. La identificacin del firmante, en el supuesto de personas fsicas, por su nombre y apellidos y su nmero de documento nacional de identidad o a travs de un seudnimo que conste como tal de manera inequvoca y, en el supuesto de personas jurdicas, por su denominacin o razn social y su cdigo de identificacin fiscal. Los datos de verificacin de firma que correspondan a los datos de creacin de firma que se encuentren bajo el control del firmante. El comienzo y el fin del perodo de validez del certificado. Los lmites de uso del certificado, si se establecen. Los lmites del valor de las transacciones para las que puede utilizarse el certificado, si se establecen.

f. g. h. i.

3. Los certificados reconocidos podrn asimismo contener cualquier otra circunstancia o atributo especfico del firmante en caso de que sea significativo en funcin del fin propio del certificado y siempre que aqul lo solicite. Y Generada en un dispositivo seguro de creacin de firma.

14

Se entiende con estas caractersticas que la LCSP se refiera a la firma electrnica reconocida como instrumento ms garantista, seguro y fiable, a la hora de tener en cuenta el desarrollo de las distintas manifestaciones y actos que se pueden dar en las fases preparatoria, de licitacin, adjudicacin y ejecucin de los contratos, lo que supone un gran nmero de acciones que se pueden dar a lo largo del procedimiento contractual. Eso no sirve de referencia a la hora de aplicarlo a otras materias que regulan relaciones entre ciudadanos/empresas- y Administracin, teniendo en cuenta los potenciales efectos jurdicos que puedan conllevar las actuaciones, manifestaciones, actos etc. En el caso de los certificados reconocidos, que caracterizan a la emisin de firma electrnica reconocida, el aspecto fundamental es el hecho de que un tercero Prestador de Servicios de Certificacin Electrnica, cuya actividad la regula las disposiciones de la Ley de Firma Electrnica, es el garante o tercero de confianza que da fe virtual del firmante, Prestador que lo expide, datos de verificacin de firma, periodo de validez del certificado, etc. Cumpliendo los principios bsicos de la firma electrnica:

Autenticidad: ciudadanos y administracin aseguran su respectiva identidad. Confidencialidad: nadie que no sea una de las partes de la relacin puede acceder a su contenido. Integridad: nadie que no sea parte de la relacin puede manipular o alterar su contenido. No repudio: ninguna de las partes puede negar que la transaccin se realiz en un momento concreto y con unos contenidos especficos.

Quin emite los certificados Reconocidos?. Los Prestadores de Servicios de Certificacin Electrnica, que se regulan segn lo dispuesto en la Ley 59/2003 de Firma Electrnica, como terceros de confianza. La ley establece quienes sern prestadores y entre otras, las obligaciones que deben de cumplir para aquellos que emitan certificados reconocidos:
Artculo 20. Obligaciones de los prestadores de servicios de certificacin que expidan certificados reconocidos. Los prestadores de servicios de certificacin que expidan certificados reconocidos debern cumplir las siguientes obligaciones: a. Demostrar la fiabilidad necesaria para prestar servicios de certificacin. b. Garantizar que pueda determinarse con precisin la fecha y la hora en las que se expidi un certificado o se extingui o suspendi su vigencia. c. Emplear personal con la cualificacin, conocimientos y experiencia necesarios para la prestacin de los servicios de certificacin ofrecidos y los procedimientos de seguridad y de gestin adecuados en el mbito de la firma electrnica. d. Utilizar sistemas y productos fiables que estn protegidos contra toda alteracin y que garanticen la seguridad tcnica y, en su caso, criptogrfica de los procesos de certificacin a los que sirven de soporte. e. Tomar medidas contra la falsificacin de certificados y, en el caso de que el prestador de servicios de certificacin genere datos de creacin de firma, garantizar su confidencialidad durante el proceso de generacin y su entrega por un procedimiento seguro al firmante. f. Conservar registrada por cualquier medio seguro toda la informacin y documentacin relativa a un certificado reconocido y las declaraciones de prcticas de certificacin vigentes en cada momento, al menos durante 15 aos contados desde el momento de su expedicin, de manera que puedan verificarse las firmas efectuadas con el mismo. g. Utilizar sistemas fiables para almacenar certificados reconocidos que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el firmante haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad. 2. Los prestadores de servicios de certificacin que expidan certificados reconocidos debern constituir un seguro de responsabilidad civil por importe de al menos 3.000.000 de euros para afrontar el riesgo de la responsabilidad por los daos y perjuicios que pueda ocasionar el uso de los certificados que expidan.

15

5.1. Resumen
La Administracin, en funcin de los efectos jurdicos, deber establecer claramente aquellos actos o trmites en los que se puedan utilizar medios de identificacin o autenticacin con unos requerimientos de seguridad menores que la firma electrnica reconocida.

6. Tipos de trmites y nivel de identificacin


En los trmites presenciales siempre se recurre al DNI/Pasaporte/Carnet de conducir para identificar al ciudadano y a la firma manuscrita como frmula de autenticacin-autorizacin, por su garanta y la sencillez de uso. Sin embargo, el equivalente en los trmites electrnicos los certificados Adaptar el nivel de digitales pueden ofrecer ciertas dificultades que limitan su uso. Para seguridad del sistema superar esta limitacin se pueden utilizar otros sistemas de de autenticacin a las identificacin cuyo uso sea ms sencillo, siempre que se garanticen los requerimientos a nivel jurdico establecidos para el trmite en cuestin. garantas requeridas

por cada trmite.

Incluso dentro de un mismo Procedimiento Administrativo, en cada uno de los trmites debera ser posible utilizar uno u otro mecanismos de identificacin

A modo de ejemplo prctico, a continuacin se recogen una serie de trmites bsicos y habituales dentro de la Administracin y se estudia el nivel de autenticacin ms adecuado para cada uno de ellos. Recordar que anteriormente se analizaron los sistemas de identificacin y se estableci la siguiente clasificacin de los mismos:
16

}
1

Sistema de identificacin Usuario + contrasea

Seguridad Dbil

Confiabilidad Normalmente NO confiable aunque depende Confiable* Confiable* Confiable* Confiable* Confiable* Confiable*

Firma y no repudio NO

2 3 4 5 6 7

Usuario + Contrasea de identificacin + contrasea de firma (OTP enviada al telfono mvil) Usuario + Contrasea de identificacin + Contrasea (OTP generada en un dispositivo hardware) Firma electrnica avanzada (certificados software) Firma electrnica reconocida (certificados en tarjeta criptogrfica u otro dispositivo seguro de creacin de firma) Usuario + contrasea de identificacin + contrasea de firma Usuario + contrasea de identificacin + juego de barcos

Fuerte Fuerte Avanzada Avanzada Dbil Fuerte

NO NO SI SI NO NO

* Se consideran confiables ya que son sistemas de autenticacin en los que las entidades propietarias han realizado identificaciones presenciales de los usuarios. Las familias de procedimientos que se han tenido en cuenta son: Ayudas y subvenciones Autorizaciones y registro Contratacin Sanciones Arbitraje denuncias y reclamaciones.

Y los trmites comunes considerados en los procedimientos anteriores son:


Es necesaria la identificacin presencial previa Se requiere firma electrnica reconocida

Trmite Solicitud y aportacin de documentacin

Seguridad mnima

Dbil (en algunos procedimientos) / Fuerte Fuerte Dbil (en algunos procedimientos) / Fuerte Dbil (en algunos procedimientos) / Fuerte Fuerte Dbil Fuerte Dbil Fuerte Fuerte Fuerte Fuerte

En algunos procedimientos S S

En algunos procedimientos S En algunos procedimientos En algunos procedimientos S No S No S S S S

Modificacin de datos de notificacin Aportacin de documentacin al expediente Obtener informacin / realizar consultas

Consultar el detalle del expediente Realizar pagos Recoger notificaciones Recoger comunicaciones Solicitar aplazamientos Realizar desistimientos y renuncias Certificaciones 17

S S S S S S S S

Presentar alegaciones o recursos

7. Casos y ejemplos
Se detallan a continuacin algunos ejemplos de autenticacin e identificacin de otras Administraciones y entidades bancarias:

7.1. Administracin Pblica


7.1.1. Seguridad Social
La Seguridad Social, en su Sede Electrnica, ofrece diferentes servicios en funcin del sistema de identificacin: Acceso a la sede electrnica

18

}
Servicios ofrecidos en funcin del sistema de identificacin

Ejemplo de acceso a un servicio sin identificacin

Una vez validados los datos en la Seg. Social se procede con el trmite enviando la informacin al domicilio del solicitante

7.1.2. Generalitat de Catalunya


Acceso a servicios

Consulta del estado de un expediente NO es necesaria identificacin; basta con tener el identificador del expediente
19

Carpeta Ciudadana Dos sistemas de acceso: Certificado Digital Usuario / contrasea (ser sustituido prximamente por certificado digital)

7.1.3. Ayuntamiento de Vitoria-Gasteiz


Acceso a los trmites

Dos modos de acceso: Certificado Digital Tarjeta municipal ciudadana

20

Identificacin mediante usuario y contrasea

7.1.4. Departamento de Hacienda de la Diputacin Foral de Gipuzkoa

21

7.2. Entidad Financiera: Vital, Kutxa, BBK y BBVA


Usuario y Contrasea o certificado digital (DNI / ONA / Izenpe) Vital, Kutxa, BBK y BBVA

22

8. Conclusiones
El sistema de autenticacin empleado en un servicio telemtico no debe suponer un freno para su uso, por lo tanto para promover la tramitacin electrnica es necesario utilizar sistemas de autenticacin sencillos (amigables) para la ciudadana, siempre que garanticen de una manera proporcional la seguridad de los actos telemticos (contemplando, entre otras, la Ley Orgnica de Proteccin de Datos y su Reglamento de Desarrollo). De esto se deduce que los Responsables de poner en marcha nuevos servicios electrnicos debern estudiar y utilizar sistemas de autenticacin menos exigentes en funcin del trmite a realizar que lo realizado hasta ahora, todo ello, en aras de fomentar el uso de los servicios telemticos. Los sistemas de autenticacin basados en firma digital y certificados electrnicos son considerados actualmente como los ms seguros y los que garantizan de manera ms fiable la identidad y autenticacin de la persona usuaria, ya que es el nico que garantiza el no repudio, siendo la firma electrnica equivalente a la firma manuscrita. Sin embargo, a pesar del alto nivel de distribucin, (10 millones de DNIs electrnicos distribuidos, y 270.000 certificados de ciudadano emitidos por IZENPE) a fin de conseguir unos niveles de uso mayores, se ve necesario una evolucin de los dispositivos hardware y software actuales necesarios para su uso, acompaados por campaas de divulgacin y formacin que acerquen estos nuevos sistemas y los ya existentes (tarjeta criptogrfica) a la sociedad. Se ha llegado a la conclusin de que el principal obstculo actualmente para la difusin de la firma electrnica es la necesidad de instalar software y hardware adicional en los equipos informticos del usuario, en concreto, el lector de tarjetas (que es el dispositivo que posibilita la lectura del certificado). Este hecho supone una traba adicional para las personas que quieren hacer uso de los servicios de la Administracin, sobre todo si el nivel de informatizacin del usuario es escaso y no existen canales de soporte y ayuda adecuados. Adems, la frecuencia de uso de muchos de los trmites no suele ser elevada, con lo que se aade la problemtica del olvido de contraseas y del propio uso. Para conseguir un incremento en el uso de los servicios telemticos (objetivo final del Plan de Innovacin Pblica, PIP) adems de evolucionar los sistemas de autenticacin, y realizar campaas de difusin y formacin de los soportes actuales (tarjeta criptogrfica), el Grupo de Trabajo considera necesario que dichos servicios telemticos se den a conocer a los ciudadanos, se encuentren accesibles, sean amigables para el usuario y sean fiables.

23

En funcin de todo lo comentado en los apartados anteriores, el equipo de innovacin traslada las siguientes propuestas que pueden ser el punto de partida para mejorar el acceso de la sociedad a la eAdministracin: Relacionadas con la identificacin: Adecuar la fortaleza del mecanismo de identificacin en funcin de los trmites. Utilizar para cada trmite electrnico sistemas de autenticacin cuyas garantas sean proporcionales a las requeridas por el propio trmite en varios aspectos: la seguridad del acceso al dato, la garanta requerida de identificacin y el riesgo de un acceso indebido o un repudio. Los sistemas menos seguros son tambin los ms sencillos y su utilizacin facilitar el acceso a la eAdministrcain a un mayor nmero de personas, no obstante, por ejemplo en el sistema de usuario/contrasea considerado como un sistema de identificacin sencillo, habra que tener en cuenta que plantea otros problemas como olvido de contraseas, gestin de mltiples contraseas, lo cual cuestiona su sencillez inicial. A continuacin mencionamos slo los mtodos de identificacin ms significativos: o Sin autenticacin (no se solicitar identificacin a no ser que sea estrictamente necesario); o Autenticacin dbil o fuerte (se proponen varios mtodos de identificacin): usuario/contrasea se podra usar la autenticacin utilizando las entidades financieras como terceros de confianza; certificado; o Firma electrnica reconocida (en sus mismos formatos, ONA, DNIe, Token USB...)

24

Utilizar otras entidades como terceros de identificacin (entidades financieras, compaas telefnicas, o similares) a la hora de validar la identificacin de la persona usuaria. Este punto implicara realizar acuerdos (convenios) con esas entidades, tal y como ya se ha realizado con la Pasarela de Pagos. Potenciar el papel de la entidad Izenpe (prestador de servicios de certificacin electrnica) a la hora de poner en marcha nuevas iniciativas, nuevos servicios electrnicos de las Administraciones pblicas vascas, as como nuevos sistemas de identificacin. Relacionadas con el hardware y software asociados a los certificados: Implantar nuevos sistemas de autenticacin como pueden ser, por ejemplo, el telfono mvil (con certificado incluido), los token usb, tarjeta de juego de barcos, etc. En ese sentido, y segn distintos estudios, stos nuevos sistemas pueden sustituir, o complementar, a corto o medio plazo a los sistemas actuales (tarjetas criptogrficas) debido principalmente a su amplia difusin (especialmente en el caso del telfono mvil) y, por lo tanto, su familiaridad por parte del usuario final. Actualmente, adems, estos sistemas ya nos garantizan la seguridad exigida por la normativa vigente. Fomentar, debido su elevada distribucin, el uso del certificado electrnico en soporte de tarjeta criptogrfica, , realizando campaas de difusin y formacin utilizando por ejemplo la red de centros KZGUNEA.

Relacionadas con la difusin de los sistemas de acceso electrnico dentro de la administracin:. Promover el uso de los certificados de firma electrnica entre el personal interno (funcionariado) de la administracin vasca a la hora de tramitar los procesos internos de la misma. (p.ej.: solicitar y aceptar comisiones de servicios; realizar peticiones de traducciones; cumplimentar la justificacin de horario...). De esta forma el personal interno se convertira en agente difusor del uso de estos nuevos medios. Desarrollar un aplicativo comn con el sistema de acceso para todos los servicios electrnicos de la Administracin de la CAPV y que contara con las diferentes formas de acceso (usuario/password, certificado, mediante un tercero certificador) para su uso por parte de todas las administraciones interesadas, con vistas a una racionalizacin de los recursos, una unificacin en los criterios de uso y un nico gestor del sistema de acceso. Apoyar la creacin de proyectos pilotos para la divulgacin y puesta en marcha de nuevas iniciativas que permitan la divulgacin de los servicios electrnicos y los nuevos sistemas de autenticacin en mbitos internos (concursos internos del Gobierno, etc.) Relacionadas con la difusin de los sistemas de acceso electrnico fuera de la administracin: Realizar campaas de difusin, centrndonos en los servicios y las ventajas que ofrece el acceso telemtico para la sociedad. En este sentido, es conveniente desarrollar un buen Plan de Gestin del Cambio. Para ello, se podra seguir el modelo plasmado en el Metodologa de Gestin del Cambio para proyectos PLATEA: identificacin de lderes, facilitadores, etc. Apoyar la formacin de proyectos pilotos para la divulgacin y puesta en marcha de nuevas iniciativas que permitan (y hagan familiarizarse a la ciudadana con los nuevos servicios de la eAdministracin) la divulgacin de los servicios electrnicos y los nuevos sistemas de autenticacin; en mbitos externos (OPEs del IVAP, etc.). Asimismo, permitirn identificar dificultades o necesidades de la ciudadana para facilitar posteriormente una mayor divulgacin de estos sistemas. Relacionadas con la legislacin vigente: Modificar y adecuar el Decreto 232/2007, de 18 de diciembre, por el que se regula la utilizacin de medios electrnicos, informticos y telemticos (MEIT) en los procedimientos administrativos (as como toda la normativa derivada) para su adaptacin a las nuevas propuestas recogidas en este documento. Se tratara de permitir que la forma de acceso a un servicio electrnico sea proporcional al nivel de proteccin de los datos a los que se accede, a las garantas de identidad requeridas y al riesgo de un acceso indebido en cada trmite. Estableciendo, por ejemplo, la obligatoriedad del uso de la firma electrnica reconocida nicamente en trmites que requieran altas garantas de identificacin y no repudio. Relacionadas con la presentacin de los servicios a la ciudadana: Revisar el diseo de las aplicaciones webs actuales (y sus sistemas de acceso y validacin de las mismas) para que contemplen distintas vas de validacin y/o autenticacin: habilitando e informando a la persona que acceda a la aplicacin (cuando as corresponda) las opciones o trmites que podr realizar en cada momento o en funcin de su perfil. Asimismo, dependiendo del tipo de tramitacin o del momento de la misma se podran habilitar

25

sistemas mixtos. P.ej. se comienza con identificacin dbil y en algn momento se puede cambiar a certificado. Implantar un sistema de acceso nico (portal) para todos los trmites del Gobierno Vasco tanto telemticos como no telemticos, ordenados tanto por Departamento, como por tema, en el que la persona usuaria pueda elegir el que ms le conviene. o Antes de entrar al trmite se le informar de lo que se va a encontrar y de los requisitos para su tramitacin (si necesita usuario / password, ONA, DNI, etc.) En el acceso a cada trmite se le solicitara el nivel de identificacin adecuado al mismo.

Los mdulos de software creados para los distintos sistemas de validacin se podran utilizar en cada uno de los trmites necesarios. Asimismo estos mdulos de software podran ser utilizados por las entidades que los necesitaran, de esta forma se optimizan los recursos. La creacin de este sistema de acceso nico para todos los servicios electrnicos de la Administracin de la CAPV permitira crear un sistema amigable, ya que hara que el usuario siempre se encontrara con la misma pantalla de identificacin para cualquier trmite con la Administracin. Esta pantalla de identificacin ofrecera al usuario las distintas alternativas de identificacin consensuadas por las Administraciones Publicas y en funcin del sistema de identificacin elegido el usuario podra realizar unos trmites u otros. Igualmente, evitara a los Departamentos y Organismos Autnomos del Gobierno Vasco (y entidades dependientes), la realizacin de sus propios sistemas de acceso e identificacin, con el consiguiente ahorro de costes y unificacin de criterios de uso. Se pueden tomar como ejemplo los siguientes: Generalitat de Catalua, Ayuntamiento de Vitoria-Gasteiz, Departamento de Hacienda de la Diputacin Foral de Gipuzkoa.)

26

9. Anexo I: Grupo de Trabajo


Las reuniones celebradas por los miembros del Grupo de Trabajo han sido las siguientes: 24/noviembre/2010 02/diciembre/2010 16/diciembre/2010 22/diciembre/2010 Y la relacin de las personas que han participado en dicho Grupo, encargado de elaborar este informe, han sido las siguientes:

Nombre

Entidad

27

Jos Ramn Guinea Pablo Prez Iosu Uribe Cristina Jan Alejandro Lara Jess M Igartua Silvia Pagola Roberto Cacho 3 Alfredo Alday

DIAE DIT IVAP IVAP EJIE Izenpe Izenpe Bizigune O-satek

Acudi como invitado especial para informar a los miembros del grupo de trabajo sobre las principales caractersticas del proyecto O-sarean de Osatek (reunin realizada el 16 de diciembre)

10. Anexo II: Legislacin y documentacin


Se recoge a continuacin relacin de documentos normativos (leyes, decretos y dems normas) que se han consultado o se han tenido en cuenta a la hora de abordar el desarrollo de este trabajo.

10.1. Legislacin Estatal


Orden PRE/878/2010, de 5 de abril, por la que se establece el rgimen del sistema de direccin electrnica habilitada previsto en el artculo 38.2 del Real Decreto 1671/2009, de 6 de noviembre. (BOE 12-04-2010) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad (ENI) en el mbito de la Administracin Electrnica. (BOE 29-01-2010). (Texto consolidado por el BOE) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS) en el mbito de la Administracin Electrnica. (BOE 29-01-2010). (Texto consolidado por el BOE) Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los servicios pblicos (LAECSP). (BOE 18-11-2009).
28

Real Decreto 899/2009, de 22 de mayo, por el que se aprueba la carta de derechos del usuario de los servicios de comunicaciones electrnicas. (BOE 30-05-2009) Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin. (BOE 29-12-2007). (Texto consolidado por el BOE) Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos. (BOE 23-06-2007). (Texto consolidado por el BOE) Real Decreto 1163/2005, de 30 de septiembre, por el que se regula el distintivo pblico de confianza en los servicios de la sociedad de la informacin y de comercio electrnico, as como los requisitos y el procedimiento de concesin. (BOE 08-10-2005) Real Decreto 589/2005, de 20 de mayo, por el que se reestructuran los rganos colegiados responsables de la Administracin electrnica. (BOE 28-05-2005). (Texto consolidado por el BOE) Ley 59/2003, de 19 de diciembre, de firma electrnica. (BOE 20-12-2003). (Texto consolidado por el BOE) Real Decreto 209/2003, de 21 de febrero, por el que se regulan los registros y las notificaciones telemticas, as como la utilizacin de medios telemticos para la sustitucin de la aportacin de certificados por los ciudadanos. (BOE 28-02-2003) (Texto consolidado por el BOE) Ley 34/2002, de 11 de julio, de servicios de la sociedad de la informacin y de comercio electrnico. (BOE 12-07-2002). (Texto consolidado por el BOE)

10.2. Legislacin Autonmica


Ley 2/2004, de 25 de febrero, de Ficheros de Datos de Carcter Personal de Titularidad Pblica y de Creacin de la Agencia Vasca de Proteccin de Datos. Orden de 26 de febrero de 2010, de la Consejera de Justicia y Administracin Pblica aprobando el Manual de Seguridad PLATEA. Orden de 15 de enero de 2009, de la Vicepresidenta del Gobierno, por la que se regula el rgimen de admisin de los certificados electrnicos. Decreto 108/2004, de 8 de junio , del Modelo de Presencia en Internet de la Administracin Pblica de la Comunidad Autnoma de Euskadi. Orden de 11 de abril de 2008, de la Consejera de Hacienda y Administracin Pblica, que establece el registro y cobro automatizados de los ingresos de derecho pblico de la Administracin General de la Comunidad Autnoma de Euskadi y de sus Organismos Autnomos a travs del Sistema Integral de Pagos y Cobros de la Administracin. Orden de 11 de abril de 2008, de la Consejera de Hacienda y Administracin Pblica, reguladora del servicio de colaboracin en la gestin recaudatoria de la Hacienda General del Pas Vasco.
29

Orden de 11 de abril de 2008, de la Consejera de Hacienda y Administracin Pblica, reguladora del pago de ingresos de derecho pblico de la Hacienda General del Pas Vasco a travs de la Pasarela de Pagos. Decreto 72/2008, de 29 de abril, de creacin, organizacin y funcionamiento de los registros de la Administracin General de la Comunidad Autnoma de Euskadi y sus Organismos Autnomos. Decreto 232/2007, de 18 de diciembre, por el que se regula la utilizacin de medios electrnicos, informticos y telemticos en los procedimientos administrativos Resolucin de 9 de febrero de 2006, de la Directora de Informtica y Telecomunicaciones, aprobando el documento que establece la Plataforma Tecnolgica para la E-Administracin (PLATEA).