Portal web abiertoAyudaContacto
Signhost logoSignhost logo
Conectarse

QWAC vs. QSeal: ¿Cuál es la Diferencia y Cómo Elegir?

Equipo Signhost

December 6, 2024

image

El fraude en línea ha sido clasificado por Europol como una de las mayores amenazas criminales. Según el centro central de lucha contra el crimen internacional y organizado, cada año se generan miles de millones en ganancias ilegales solo dentro de la Unión Europea. Uno de los principales objetivos de estos criminales es el mundo empresarial. La manipulación de documentos y la creación de sitios web falsos permiten el acceso a datos personales y sistemas empresariales.

Afortunadamente, el Reglamento eIDAS ha introducido una lista de servicios de confianza para contrarrestar este tipo de fraude, proporcionados por Proveedores Cualificados de Servicios de Confianza (QTSP, por sus siglas en inglés). Un QTSP garantiza la validez y seguridad de firmas electrónicas, sellos de tiempo y certificados electrónicos para sitios web, incluidos los Certificados Cualificados de Autenticación de Sitios Web y los Sellos Cualificados.

Pero, ¿qué variante necesita tu organización? Este artículo te ayudará a decidir y te proporcionará información sobre los procedimientos de cumplimiento de ambos.

QWAC vs. QSeal: Comparación Rápida

AspectoQWACQSEAL
PropósitoAutenticar sitios web y garantizar una comunicación seguraVerificar el origen e integridad de documentos electrónicos
FuncionalidadCifrado SSL/TLS, verificación de identidadSellado electrónico, verificación de integridad y origen del documento
Uso PrincipalAsegurar sitios web y transacciones en líneaSellar documentos y datos electrónicos
CumplimientoReglamento eIDASReglamento eIDAS
Principales BeneficiosSeguridad de datos, fomentar la confianza de los usuarios, cumplimiento normativoSeguridad de documentos, garantía de autenticidad, validez legal
IndicadoresIndicadores de seguridad en el navegador, como el icono de candadoSello digital en documentos
AlcanceComunicación basada en la webAmplio, diversas aplicaciones basadas en documentos

¿Qué es un Certificado Cualificado de Autenticación de Sitios Web (QWAC)?

Un QWAC es un certificado que verifica sitios web y direcciones de correo electrónico, asegurando a los usuarios que están interactuando con una organización legítima. Garantiza una comunicación segura entre navegadores y servidores de sitios web al verificar la identidad del propietario del sitio, proporcionando un alto nivel de confianza y seguridad.

Un QWAC contiene información sobre la organización que emite el certificado, el receptor del certificado y el propio certificado.

Características y Beneficios del QWAC

Las características clave de un QWAC incluyen:

  • Cifrado SSL/TLS para proteger los datos en tránsito.
  • Verificación de identidad del propietario del sitio web o dirección de correo electrónico, para asegurar a los visitantes que están interactuando con la parte correcta.
  • Cumplimiento del Reglamento eIDAS, requisitos del ANEXO IV para certificados cualificados de autenticación de sitios web y estándares del Instituto Europeo de Normas de Telecomunicaciones (ETSI).
  • Obligatorio para servicios de pago en la UE, según la Directiva de Servicios de Pago (PSD II).
  • La versión actualizada del eIDAS, conocida como eIDAS 2.0, podría hacer obligatoria la integración del QWAC para navegadores.
  • El icono de candado en el navegador y "https" en la barra de direcciones indican una conexión segura.

Cómo se Diferencia el QWAC de los Certificados SSL/TLS Estándar

Un certificado SSL/TLS estándar solo cifra los datos, mientras que un QWAC verifica la información del propietario del sitio web de una manera legalmente reconocida en toda la UE. Los certificados SSL/TLS estándar se emiten con diferentes niveles de seguridad, que incluyen Validación de Dominio (DV), Validación de Organización (OV) y Validación Extendida (EV), en orden ascendente de confianza. Sin embargo, incluso el nivel más alto (EV) es inferior al nivel de seguridad del QWAC.

Casos de Uso del QWAC

Debido al altísimo nivel de seguridad proporcionado por un QWAC, los requisitos de la PSD2 exigen que todas las organizaciones dentro de su ámbito de aplicación los utilicen. Esto incluye bancos y proveedores de servicios de pago. También se utilizan en otras organizaciones que requieren un alto grado de confianza, como los gobiernos. En España, la ley local incluso obliga a que todos los proveedores de servicios públicos utilicen QWAC.

¿Qué es un Certificado Cualificado de Sellos (QSeal)?

Los QSeals se utilizan para garantizar la integridad y autenticidad de documentos y datos electrónicos. Pueden considerarse como el equivalente digital del clásico sello de cera, que indica al receptor que un documento no ha sido alterado si el sello permanece intacto. Los sellos electrónicos cualificados ofrecen el nivel más alto de seguridad entre los tres tipos de sellos mencionados en el Reglamento eIDAS.

Un QSeal es creado por un QTSP utilizando un Dispositivo Seguro de Creación de Firmas (SSCD). Este proceso genera un sello cifrado que demuestra la integridad y el origen de un documento electrónico.

Características y Beneficios del QSeal

Las características clave de un QSeal incluyen:

  • Confirma la identidad de la entidad que creó el sello electrónico para el documento.
  • Garantiza que nadie pueda alterar el contenido del documento sellado sin ser detectado.
  • Cumple con el Reglamento eIDAS, asegurando su reconocimiento legal en toda la UE.
  • Permite la transmisión segura de documentos digitales y garantiza a los destinatarios que pueden confiar en el contenido.
  • El proceso automatizado para aplicar sellos en lotes ahorra tiempo.
  • Reduce el riesgo de fraude en línea.

Cómo se Diferencian los QSeals de las Firmas Electrónicas

Un sello electrónico, como un QSeal, puede ser utilizado tanto por empresas como por individuos. A diferencia de una firma electrónica, que significa aceptación del contenido del documento, un sello vincula digitalmente al propietario con el documento. Además, el sello garantiza que el documento no pueda ser alterado sin ser detectado después del sellado.

Casos de Uso del QSeal

Los QSeals proporcionan seguridad a las organizaciones al crear contratos laborales y enviarlos a nuevos empleados. También se pueden utilizar para proteger la propiedad intelectual, como patentes y derechos de autor. Los gobiernos pueden usarlos para sellar permisos y licencias, mientras que las organizaciones del sector sanitario pueden utilizarlos para proteger el contenido de los registros médicos.

Requisitos de Cumplimiento para QWAC y QSeal

eIDAS

Según el Reglamento eIDAS, tanto los QWAC como los QSeals deben ser emitidos por un QTSP. Un QWAC debe cumplir con estrictos procesos de identificación y verificación para garantizar la autenticidad e integridad de los sitios web. Los QSeals requieren el uso de un SSCD, asegurando la integridad y el origen del documento sellado. En ambos casos, se aplica el nivel más alto de seguridad.

PSD2

Los QWAC y los QSeals son obligatorios según la legislación PSD2, específicamente los Estándares Técnicos Regulatorios (RTS) descritos en el Artículo 34. Estos estándares requieren que los proveedores de servicios de pago utilicen certificados cualificados para la autenticación de sitios web y el sellado electrónico.

Los certificados deben incluir información como el rol del proveedor de servicios de pago y el nombre de la autoridad competente donde la empresa está registrada, tal como es habitual en el sector financiero.

Preguntas Frecuentes

¿Pueden usarse los certificados QWAC y QSeal en combinación con otros tipos de certificados digitales?

El uso de un QWAC no afecta el uso de otros certificados generales, como los SSL/TLS. Se pueden utilizar simultáneamente, con un QWAC añadiendo medidas de seguridad adicionales. Un documento sellado con un sello electrónico, como un QSeal, también puede incluir una firma electrónica.

¿Qué deben considerar las organizaciones antes de solicitar un QWAC o QSeal?

Las organizaciones deben primero seleccionar un QTSP para cumplir con el Reglamento eIDAS vigente. Además, es esencial determinar el nivel de seguridad necesario. Para servicios de pago y transacciones en línea, el nivel más alto de seguridad es obligatorio (QWAC y QSeals). Sin embargo, para tareas más simples con bajo riesgo, esto puede no ser necesario.

¿Qué deben hacer las organizaciones si un certificado se ve comprometido?

Las organizaciones deben revocar el certificado comprometido y contactar a la autoridad nacional competente para informar sobre la situación.

Conclusión

La elección entre un QWAC y un QSeal depende del propósito, con la posibilidad de que tu organización necesite usar ambos. Si no, un QWAC autenticará tu sitio web, mientras que un QSeal garantizará que un documento enviado permanezca en el mismo estado que cuando fue sellado.

Entrust Signhost es una plataforma líder para identificación digital y firmas electrónicas. Pueden ayudar a tu organización a optimizar procesos y servir mejor a los clientes mediante herramientas convenientes que cumplen automáticamente con las obligaciones legales. Comienza una prueba gratuita con Entrust Signhost hoy para ver cómo su software puede mejorar tus procedimientos.

Referencias y Lecturas Adicionales                

  • Firmas Electrónicas
  • Identificación en Línea
  • ¿Qué es un QES?
  • ¿Qué es una Firma Electrónica?
  • ¿Qué es la Verificación de Identidad?