¿Es posible dar valor legal a los servicios web firmados?

Navega tus respuestas
1

El contexto utiliza servicios web firmados digitalmente (con XML-DSIG, por ejemplo) para la interoperabilidad del gobierno electrónico entre bases de datos.

La idea es dar respaldo tanto al publicador de datos como al consumidor de datos: el publicador de datos recibe solicitudes firmadas, que garantizan la identidad del consumidor, la autenticidad de la solicitud y prohíben el rechazo. Lo mismo ocurre con la respuesta recibida por el consumidor de datos.

El problema es: ¿quién está firmando el servicio web y con qué valor legal? En mi país, solo las personas "naturales" tienen valor legal cuando firman digitalmente, y bajo el principio de poder leer el documento antes de firmarlo. Pero, obviamente, una persona "natural" no puede procesar y firmar todas las solicitudes, por lo que esta persona tiene que delegar la firma en el servidor, con el riesgo de robo de identidad que implica.

En este contexto, ¿cree que esta firma digital puede tener un valor legal? ¿Crees que algún gobierno responsable aceptará delegar su firma digital a un servidor? Y lo más importante: ¿qué esquema alternativo recomienda?

    
pregunta Sylvain Lesage 05.04.2016 - 16:18
fuente

1 respuesta

1

Estamos trabajando en este dominio durante algún tiempo. Como ya ha mencionado, existe una diferencia entre la firma técnica (de modo que los sistemas / bases de datos pueden confiar en la integridad de los datos está asegurada) y el valor legal de los datos en sí mismos, donde (según el marco legal) legalmente puede firmar solo un certificado "natural". persona.

Cada estado efectivamente "valida" a sus propios ciudadanos y asegura su identidad (emitiendo su tarjeta de identificación, pasaporte, autenticación y certificados de firma). Puede haber un certificado de solicitud emitido, pero no tienen un valor de firma legal. La mayoría de los países adoptan este principio.

A menudo hay un acuerdo mutuo entre las organizaciones para confiar en sus datos firmados de las aplicaciones fuera del alcance del marco legal. Veo muchas iniciativas para automatizar la firma (yo me apoyaría), pero, como mencionó WoJ, la aplicación no puede tomar sus propias decisiones y no puede asumir ninguna responsabilidad legal.

He visto un sistema en el que la persona responsable firma un lote (lista completa de los resúmenes del documento) sin tener efectivamente tiempo para leer todos los documentos. En este caso se utiliza un módulo de seguridad de hardware. Aún así, es la persona que legalmente asume la responsabilidad, así que firme los documentos.

    
respondido por el gusto2 06.04.2016 - 00:11
fuente

Lea otras preguntas en las etiquetas

Pasar un hash de un secreto a un servidor en lugar del texto simple ¿Qué significa 'client_id' en la concesión de credenciales de contraseña de OAuth 2.0?