En esta página resumiremos los aspectos más importantes a considerar sobre firma electrónica y autoridades certificadoras.

1.- La firma electrónica avanzada tiene el mismo valor jurídico que la escrita si:
        -Se basa en un certificado reconocido.
        -Ha sido producida por un dispositivo seguro de creción de firma.

     A efectos legales se presumirá que cumple estos requisitos si:
        - La CA que lo emitió está acreditada.
        - El dispositivo seguro de creción de firma está certificado.

2.- Un certificado reconocido es el que:
    a.- Contiene:
        - Indicación de que es un certificado reconocido.
        - Un identificador único.
        - Identificación de la CA que lo expide: nombre, domicilio, e-mail, NIF y datos de identificación registral si procede.
        - Firma electrónica avanzada de la CA.
        - Nombre o seudónimo del titular. Aquí también se puede incluir cualquier otra cosa referente al titular si es significativa para el fin del certificado y este lo consiente.
        - Si el signatario es un representante, indicación del documento que le acredita como tal.
        - Datos de verificación de firma (la clave pública).
        - Periodo de validez (en cualquier caso, no superior a 4 años desde su expedición.
        - Límites del valor de las transacciones que se pueden realizar con el certificado si este se preveen.
        - Límites de uso.
    b.- Lo expide una CA que cumple una serie de obligaciones:
    (Exigibles a todas las CAs)
        - Comprobar todas las circunstancias personales relevantes para este certificado. En especial, la identidad del solicitante.
        - Ofrecer al titular del certificado los dispositivos de creación y verificación de firma electrónica.
        - No almacenar los datos de creción de firma (clave privada) salvo que el titular lo solicite.
        - Informar al interesado antes de la emisión del certificado del precio, condiciones de uso, limitaciones de uso y garantía que ofrece la CA frente a posibles responsabilidades.
        - Mantener un registro de certificados emitidos, suspendidos o revocados, al que se podrá acceder por medios telemáticos con autorización del titular.
        - En caso de cese de actividad de la CA, comunicarlo con 2 meses de antelación al Registro y a sus clientes.
        - Solicitar la inscripción en el Registro de Prestadores de Servicios de Certificación que mantiene el Ministerio de Justicia.
        - Cumplir el resto de normativa legal.
    (Exigibles a CAs que expiden certificados reconocidos)
        - Indicar fecha y hora de emisión/revocación de un certificado.
        - Demostrar la fiabilidad necesaria de sus servicios.
        - Garantizar seguridad y rapidez en sus servicios, especialmente en la consulta certificados emitidos y en la revocación/suspensión de estos.
        - Emplear personal cualificado y con experiencia.
        - Usar sistemas y productos fiables.
        - Tomar medidas contra la falsificación y asegurar la confidencialidad de los datos si la CA genera los datos de creación de firma (Clave privada).
        - Tener medios económicos para operar y asumir posibles responsabilidades, esto es:
            - El 4% de la suma de los importes límite consignados en los certificados.
            - 1000.000.000 pts. si no se puede aplicar lo anterior (es decir, que haya certificados sin límite)
        - Conservar un registro con toda la información relevante de sus certificados reconocidos durante 15 años.
        - Además de la información previa que se da al interesado en caso de certificados no reconocidos, dar también:
            - Acreditación de la CA.
            - Procedimientos de reclamación previstos.
        Además, toda la información deberá ser fácilmente comprensible.
        - Usar sistemas seguros para almacenar certificados de forma que solo accedan a ellos las personas que, en cada caso, estén autorizadas.
        - Informar de cualquier otro criterio que se dispongan a seguir de acuerdo con la normativa legal.

3.- Las CAs no necesitan autorización previa (aunque deben solicitar su inscripción en el Registro de CAs) y están en régimen de libre competencia.

4.- Los certificados emitidos por CAs de fuera de la Unión Europea, son equivalentes a los certificados reconocidos en la UE, si:
    - Son considerados como certificados reconocidos en su país.
    - Ocurre una de estas tres situaciones:
        - Que la CA reune los requisitos que pide la UE y haya sido acreditada por un Estado de la UE.
        - Que el certificado esté garantizado por una CA de la UE que cumple la normativa comunitaria.
        - Que exista un acuerdo para que estos certificados sean reconocidos.

5.- La protección de datos personales quedan sujetos a la normativa vigente sobre los mismos. En concreto, la LORTAD (Ley orgánica de ragulación del tratamiento de datos de caracter personal) (Para más información: Ley Orgánica 5/1992 de 29 de octubre y disposiciones de desarrollo)

6.- La inspección y control de las CAs corre a cargo de el Ministerio de Fomento a través de la Secretaría General de Comunicaciones (La cual ha aprobado el reglamento de las CAs y entidades de evaluación mediante la Orden del 21 de febrero del 2000 incluida aquí). Esta tiene poder para exigir los cambios necesarios que ha de realizar una CA para cumplir la normativa legal.

7.- Se entiende como dispositivo seguro de creación de firma aquel que cumple los siguientes requisitos:
    - Que garantiza que los datos utilizados para la generación de firma se pueden producir solo una vez y que asegure razonablemente que son secretos.
    - Que no permita deducir la firma o los datos de creación de firma (clave privada) de la clave pública o de la propia firma. Es decir, que esta firma no pueda ser falsificada con la tecnología existente.
    - Que el signatario pueda proteger los datos de creación de firma contra la utilización por otros.
    - Que el dispositivo no altere los datos que se firman y que permita mostrar el contenido antes de firmar.

8.- A los dispositivos de verificación de firma se les exige lo siguiente:
    - Que la verificación sea fiable.
    - Que se pueda saber si los datos han sido modificados.
    - Que se pueda conocer la identidad del signatario, o que se dice claramente que es un seudónimo.
    - Que se puede saber si el certificado asociado es fiable.
    - Que puede detectarse cualquier cambio relativo a la seguridad.

9.- Las CAs se puden someter voluntariamente a la evaluación del los órganos competentes para obtener la certificación correspondiente de la Secretaría General de Comunicaciones y pasar a ser CAs acreditadas.

10.- Las entidades de evaluación que evaluen a las CAs para que estas sean acreditadas y que evalúen también los productos de firma electrónica pueden ser organismos públicos o privados acreditados por la ENAC (Entidad Nacional de Acreditación) u otra entidad de acreditación de la UE

11.- Para la acreditación de las CAs que expiden certificados reconocidos estas deben cumplir los art. 11 y 12 del Real Decreto-Ley 14/1999, de 17 de septiembre (La ley sobre firma electrónica). Estos artículos son los que se refieren a las obligaciones exigibles a las CAs explicados anteriormente.

    Es importante señalar que se pueden obtener distintos niveles de certificación dependiendo del cumplimiento por parte de la CA de las normas que se publiquen en el Diario Oficial de las Comunidades Europeas o, en su defecto, los que la Secretaría General de Comunicaciones decida (que se publicarán el el BOE).

12.- Las acreditaciones, además de para el servicio de emisión de certificados pueden obtenerse también para otros servicios relacionados (e.g. Consignación de fecha y hora). A estos se les exige otros requisitos (ver art. 16 de la Orden incluida)

13.- Las acreditaciones obligan a la CA a mantener las condiciones que le permitió obtener esta acreditación, tienen validez por 4 años y pueden ser renovados por 4 años indefinidamente siempre mediante un informe favorable de una entidad de evaluación.

14.- Se puede modificar el nivel de acreditación de la CA mediante informe favorable de una entidad de evaluación.

15.- Las CAs acreditadas en un estado miembro de la UE, serán reconocidas como tales en España. Las CAs acreditadas fuera de la UE serán reconocidas en España si existe un acuerdo para ello.

16.- Para la certificación de los dispositivos seguros de creación de firma se les exigirá a estos que cumplan las condiciones que antes se mencionan. Igualmente cono los dispositivos de verificación de firma. Las normas que se seguirán en su evaluación son las que se publiquen en el Diario Oficial de las Comunidades Europeas o, en su defecto, los que la Secretaría General de Comunicaciones decida (que se publicarán el el BOE).

ANEXO.- Respecto a la normativa Europea, esta es muy similar a la española, y se puede consultar aquí la Directiva al respecto. Sin embargo, debido a que la normativa española sobre firma electrónica es anterior al marco legal que establece esta Directiva, el Gobierno español está tramitando una nueva ley sobre firma electrónica en la que si se considera este marco legal y se incluyen nuevos conceptos (como el DNI digital).