Archivo por meses: marzo 2007

CCI presenta el servicio SEPFRA (SERVICIO DE PREVENCIÓN DEL FRAUDE)

1 respuesta

Ya he mencionado con anterioridad algunos de los servicios desarrollados por el Centro de Cooperación Interbancaria (CCI) que son semejantes a PERSUS de ASNEF-Equifax. La información disponible en la actualidad es más amplia.
CCI ha presentado el  Servicio de Prevención del Fraude (SEPFRA) para ayudar a las entidades asociadas a CCI en la detección, prevención y lucha contra el fraude.

Este servicio está formado por los siguientes instrumentos:

  • Centro de Observación del Delito Económico (CODE).
  • Fichero de Documentos Extraviados, Robados y de autoinclusión (DER).
  • Fichero del Servicio de Operaciones Registradas (SOR).
  • Fichero de SOLicitudes de operaciones (SOL).

La finalidad del servicio es servir de herramienta de ayuda a la decisión en las solicitudes presentadas a sus usuarios. El usuario ha de integrarlo dentro de su sistema general de aprobación de solicitudes como un factor a considerar dentro de la decisión final de otorgar o denegar una solicitud.

El servicio se define de carácter cooperativo, es decir, los usuarios podrán ser aquellas personas jurídicas que tengan datos que aportar a los diferentes ficheros que lo componen.

Se ha considerado conveniente la participación en él de empresas de varios sectores, que comparten la característica común de manejar gran cantidad de datos provenientes de solicitudes masivas de contratación de bienes y servicios o de prestaciones derivadas de la ejecución de los mismos. Como estos datos son en buena parte equiparables, pueden ser confrontados entre sí para detectar incongruencias o indicios de fraude y lógicamente, cuanto mayor sea el volumen
de datos incorporados al sistema, habrá mayores posibilidades de detectar intentos de fraude.

CCI ha seleccionado a Experian Bureau de Crédito, S.A. (EBC) como proveedor tecnológico y operativo para la gestión del Sepfra, debido a la experiencia de dicha empresa en la prestación de servicios de gestión de grandes bases de datos para las llamadas entidades de depósito (Bancos, Cajas y Cooperativas de Crédito), por su conocimiento contrastado en la lucha contra el fraude en otros países, y por la trayectoria de una larga relación de negocio con estas entidades y con el propio CCI.

Podrán adherirse al Sistema los siguientes tipos de entidades:

  • Bancos, Cajas de Ahorro y Cooperativas de Crédito.
  • Establecimientos Financieros de Crédito y otras entidades que, según la legislación vigente, tengan obligación de declarar a la Central de Información de Riesgos del Banco de España.
  • Operadores de telecomunicaciones que figuren en el Registro de Operadores dependiente de la Comisión del Mercado de Telecomunicaciones, o Registro que le sustituya, que estén prestando efectivamente en España servicios remunerados de telecomunicaciones a consumidores, y difieran el cobro de los servicios ya prestados.
  • Compañías establecidas en España que se dedican como actividad principal al arrendamiento no financiero a medio y largo plazo de bienes (“renting”).
  • Compañías aseguradoras inscritas en el Registro de Entidades Aseguradoras dependiente de la Dirección General de Seguros.
  • Operadores energéticos en el sector del gas natural, o que en el sector eléctrico se dediquen a la actividad de comercialización y suministro de electricidad, siempre que desarrollen una parte significativa de su actividad en España.

cci-der-funcionamiento.gif

Cuando se presente una solicitud ante una entidad adherida, los datos de la misma serán enviados al proveedor del servicio, el cual les aplicará una herramienta informática de contraste de solicitudes que permitirá, mediante el uso de reglas definidas, la detección de incongruencias o incorrecciones en dichos datos.

El resultado obtenido será comunicado a la entidad adherida. Si se detectasen incongruencias, la entidad determinará, en base a la regla o reglas incumplidas y al resto de información de la solicitud y del solicitante de la que dispone, el buen fin de la operación, y asimismo decidirá si se procede a su análisis e investigación por personal especializado.

Las herramientas de que dispondrá el analista son, además de las que le proporcione su entidad, la propia herramienta de contraste de solicitudes y el acceso a los datos de los ficheros DER, SOL y SOR, que podrán ser consultados individualmente, o con una única consulta a todos ellos.

Dado que el fichero contiene datos de carácter personal, es preciso que se cumplan todas las obligaciones establecidas por la Ley Orgánica de Protección de Datos. Las más destacadas son que es necesario recabar el consentimiento del afectado, que en el caso del DER es la persona que solicita la incorporación y en los ficheros SOR y SOL la que solicita la operación, y establecer un mecanismo de atención de los derechos de los mismos (acceso, rectificación, cancelación y oposición). Estas cláusulas serán comunes a todos los usuarios.

CCI será el responsable de todos los ficheros, en el sentido definido en la legislación de protección de datos. Además, en los casos de los ficheros SOL y SOR, las entidades adheridas serán consideradas responsables del tratamiento, y por tanto responsables de la calidad y exactitud de los datos.

Un estudio demuestra la realidad de la Copia Privada

2 respuestas

En relación con la valoración del futuro Canon Digital, ASIMELEC ha realizado un riguroso estudio sobre los hábitos de uso de los consumidores españoles de dispositivos electrónicos, con el objetivo de basar en cifras objetivas la defensa de sus propuestas.

El estudio elaborado por SIGMADOS, cuyo trabajo de campo se desarrolló durante el pasado mes de diciembre, contó con un universo de 3.631 hogares, siendo el margen de error de +/- 1,61% y el margen de confianza del 95%.

 A juicio de ASIMELEC, los resultados del informe dejan patente lo desproporcionado de las exigencias de las Entidades de Gestión de Derechos de Autor.

«De hecho –y según José Pérez, director general de ASIMELEC–, las Sociedades de Gestión pretenden aplicar un canon que equivaldría a suponer que todos los dispositivos son usados únicamente para realizar copias privadas de música y películas, presuponiendo, además, que cada copia realizada equivale a un CD o DVD original no vendido, lo cual dista mucho de la realidad«.

«El estudio –sigue diciendo Pérez--, contempla también el uso de los CD y DVD vírgenes, los dispositivos más usados por los consumidores, y sobre el que desde 2003, ya se esta aplicando un canon que supone el 60% del PVP. Este desmesurado sobreprecio, ha supuesto la creación de un mercado negro que ha provocado el derrumbe de esta industria en España y en Europa. Sin ser alarmistas, desde ASIMELEC –dice Pérez–, exigimos también tener en cuenta las repercusiones que un canon irracional provocaría en la comercialización y distribución de los nuevos dispositivos y en el desarrollo de la Sociedad de la Información«.

El estudio de SIGMADOS, acredita que en los hogares españoles el 38,7% de los CD’s vírgenes son destinados a copiar música y que el 44,6% son destinados a otros usos, como almacenamiento de archivos y fotografías. Si extrapolamos estos datos a todo el mercado –el canon lo pagan tanto los consumidores como las empresas, sin excepción- sólo el 20,8% de los CD’s vendidos en España serían destinados a copiar música.

En el caso de los DVD-R, el 54,9% son destinados a grabar fotografías y videos domésticos o personales, y sólo un 45,2% para grabar películas. Sobre el total del mercado, sólo el 26,5% de los DVD’s vírgenes serían destinados a realizar copias privadas. Además, los dispositivos anticopia de los DVD originales cabe considerarlos, ya, muy eficaces, y especialmente los nuevos formatos HDD y Blu Ray, que son inviolables.

Teléfonos móviles con reproductor multimedia

Otro de los nuevos dispositivos considerado por las Sociedades de Gestión como sujeto a canon, son los teléfonos móviles con reproductor multimedia. Sin embargo, y según el estudio de SIGMADOS, el 72,1% de los usuarios de este tipo de dispositivos no usan esta función, por lo que no tendría sentido aplicar el canon digital, máxime cuando la ley especifica que no se debe compensar el perjuicio considerado como mínimo.

Tarjetas de memoria de cámaras digitales

Por último y especialmente significativo resulta el uso de las tarjetas de memoria de las cámaras digitales. El estudio revela que de los 16,9 millones de personas que usan estos dispositivos, el 99,1% usa la memoria para almacenar únicamente las fotografías que realiza con ellos.

A juicio de José Pérez, director general de ASIMELEC, «a tenor de estas cifras, las propuestas de las Entidades de Gestión cabe considerarlas desorbitadas, ya que parece que mediante el canon por copia privada se pretendiera también paliar los efectos de la piratería, un fenómeno ajeno a la industria y a los usuarios sobre los que no se puede cargar este perjuicio. Desde ASIMELEC –termina diciendo Pérez--, siempre hemos defendido el respeto a los derechos del colectivo de autores y creo que de eso nadie tiene duda, pero también hay que respetar los intereses de consumidores y profesionales que hacen un uso legal y variado de las múltiples aplicaciones de los dispositivos y soportes electrónicos.«

TrueCrypt, seguro, rápido y de fuente libre

6 respuestas

A través de aramsmith.com he encontrado esta interesante información sobre TrueCrypt.

Una ingeniosa herramienta rápida y segura que permite crear un disco virtual cifrado en cualquier dispositivo de almacenamiento, tal como una memoria USB sin miedo a perder datos y que estos queden al alcance de quien la encuentre.

TrueCrypt permite:

  • Definir un fichero como disco virtual cifrado que, una vez «montado» en el sistema queda accesible como cualquier otro.

  • Cifrar toda una partición del disco o todo un dispositivo, como por ejemplo una memoria Flash USB.

  • Copiar ficheros a o desde la zona cifrada, de forma que el cifrado y descifrado es automático, en tiempo real (al vuelo) y transparente.

  • Definir dos niveles de inaccesibilidad plausible (plausible deniability) para el caso de que nos veamos forzados a revelar la password.

  • Seleccionar los algoritmos de cifrado entre AES-256, Blowfish (clave de 448-bits), CAST5, Serpent, Triple DES, y Twofish. Modo de operatcon: LRW (se soporta CBC por compatibilidad).

Para usarlo, hay que instalar el programa TrueCrypt o ejecutarlo (por ejemplo si llevamos los ficheros .exe y .sys en el propio lápiz USB o disco, se ejecuta desde allí).

Al ejecutarlo se crea un volumen cifrado seleccionando el algoritmo de cifrado o una combinación de ellos. Se proteje el volumen con una password. La password puede ser además de una palabra clave, una imagen, un archivo MP3 u otro documento o una combinación de ambas. A continuación se «monta» el volumen que se comportará como cualquier disco local. La robustez del algoritmo afecta a la velocidad de cifrado y descifrado.

Una vez montado el disco virtal cifrado se puede formatear y poner otros ficheros en él. Dado que el disco virtual se basa en un fichero, ese fichero se puede copiar a cualquier dispositivo, por lo que al hacerlo se incluyen los archivos que están en el disco virtual.

Esta herramienta, disponible en código fuente se puede obtener en su propio sitio web TrueCrypt

Voto societario en forma electrónica

Deja un comentario

La Comunidad Europea decidió permitir que los accionistas de sociedades que coticen en Bolsa puedan ejercer el derecho al voto en forma electrónica, informó la presidente del Consejo Europeo, Brigitte Zypries y ministra de Justicia de Alemania.

La medida contribuirá a la «integración creciente» y a la estabilidad del mercado europeo de capitales.

La medida busca beneficiar a los accionistas que no pueden ejercer el derecho al voto por estar en un país en el que no se hacen las asambleas, y se limita solo a las sociedades «públicas» que participan del mercado de capitales.

La nueva directiva comunitaria deberá ser adoptada en la legislación interna de los países miembros dentro de los próximos 24 meses,aunque una alternativa para su implementación es que las compañías incluyan los mecanismos en sus propios estatutos sociales.

Cabe destacar que Alemania ya reformó su ley de sociedades en 2005, habilitando expresamente este mecanismo. Además, en España el sistema rige desde 2003, cuando se sancionó la ley 26/03, que buscó reforzar la transparencia en el manejo del gobierno corporativo.

Pero en España, el sistema vigente es optativo y su implementación depende de los consejos de administración de las sociedades.

Entre las principales ventajas del voto electrónico en las sociedades anónimas es que este mecanismo permite que en las compañías más grandes los accionistas pequeños puedan ejercer cierta influencia en las asambleas societarias.

«Además de estimular la participación, el voto electrónico aporta rapidez y fiabilidad en el cómputo de los votos, sin merma de la seguridad», consideró el especialista español Francisco Mora. Así, es posible que un accionista que esté en una ciudad pueda votar en una asamblea que se lleva a cabo en otra.

De todas formas, existen particularidades técnicas que hacen que la implementación del sistema deba estar precedida de importantes recaudos.

En ese sentido, uno de los requisitos fundamentales es la «firma digital»,que da seguridad a las comunicaciones electrónicas, algo que en nuestro país avanza de la mano de la reciente reglamentación del Ejecutivo del régimen legal para las entidades certificadoras.

En España hay empresas que brindan el servicio de voto electrónico para las sociedades que lo solicitan. La compañía «Interactiva» es una de ellas, y en uno de sus prospectos publicitarios muestra la complejidad del sistema.

«Todo el proceso debe ser realizado de forma transparente y comunicado a los accionistas y a la Comisión Nacional del Mercado de Valores con anterioridad, de forma que se puedan resolver todas las dudas posibles, evitando cualquier tipo de impugnación de la Junta basada en una crítica al sistema de voto utilizado «, explica la compañía.

Perspectivas locales
Sin embargo, entre los especialistas locales hay dudas respecto de algunos aspectos del sistema. En ese sentido, el abogado Jorge Bazán, ex titular de la IGJ, consideró que el tema del voto electrónico y a distancia introduce un elemento complejo a la hora de evaluar el quórum de las asambleas.

«Lo que se pretende con las reuniones es que estén los socios, que estén en la presencia física de los apoderados de los accionistas, para que el funcionamiento del órgano pueda verificarse», explicó Bazán.

En tanto, el proyecto de reforma de ley de sociedades comerciales que más avanzado está y que fuera elaborado en 2005 por una comisión del ministerio de Justicia prevé ciertos cambios que adaptan el uso de la tecnología a la vida societaria.

En ese sentido, el proyecto prevé la posibilidad de que la convocatoria a asamblea se haga por vía electrónica. Y el el artículo 280 del proyecto prevé la posibilidad de que la reunión del directorio se lleva a cabo a través de una «video conferencia».

La intención es permitir que las empresas adopten este tipo de sistemas para no paralizar la actividad de la sociedad cuando sus principales directivos están de viaje, algo cada vez más común en la práctica de los negocios.

Preguntas sobre el Canon

1 respuesta

Miguel Pérez Subías propone en su Blog interesantes preguntas sobre el Canon Digital que planteó a Pedro Farré en una entrevista on-line en El Mundo.

Las preguntas no aparecen entre las que contesta Pedro, pero resumen la perplejidad de muchos usuarios. La selección de preguntas no ha favorecido a Miguel, pero Pedro no evita preguntas incómodas.

Pedro contesta algunas preguntas de forma un tanto contradictoria, seguramente por la presión de responder rápido que está implícita en el formato utilizado.

Aquí van algunas preguntas y sus chocantes respuestas:

16. ¿Os dais cuenta de que con la implantación del canon estáis legitimando que piratee lo que me dé la gana?

La gente se copia obras y eso está bien. Lo que pedimos, porque es de justicia, es que se retribuyan mínimamente esas copia. Que sepa todo el mundo que las tarifas por copia privada son muy bajas. En modo alguno se puede afirmar, como dice la industria, que esos pequeños pagos constituyan un freno para el desarrollo de sus negocios. De hecho, ¿cuándo se han vendido más CDs y DVDs vírgenes? ¿Antes o después de que se creara el canon? La respuesta es clara: hoy (con el canon implantado) se venden un 1000% más de Cds y DVDs que hace cuatro años.

9. ¿El pago del canon autoriza la copia? Gracias

La copia privada es legítima. Lo dice la Ley. Pero la misma norma exige pagar un pequeñísimo canon para compensar (en realidad mitigar) el descenso de las ventas que esta nueva práctica del consumidor provoca inevitablemente.

2. Una pregunta poco original pero quiero conocer su respuesta; si pago el canon significa que puedo copiar lo que quiera. Y si no, ¿por qué debo pagar el canon?

El mal llamado canon es eso, una compensación económica que retribuye al autor por las copias privadas que nos hacemos. La copia privada, en efecto, es legítima siempre que se abone el preceptivo canon previsto en la legislación europea.

Aunque Pedro insiste en que el Canon lo paga el fabricante, quiere ignorar que ese coste se traslada al usuario. En mi opinión el argumento es tan evidentemente falso que puede llegar a deslegitimar otras afirmaciones más afortunadas, por mera proximidad. Le sugeriría que lo fuera modificando.

Por otro lado la LPI dice que solo se puede realizar la copia privada de obras a las que el copista haya accedio legalmente, es decir, con la letra de la Ley, no se legaliza la copia por pagar el canon (aunque muchos pensamos que debería legalizarla).

Es un tema económico: si el canon solo debe compensar las copias legales, su importe debe reducirse enormemente. Si debe compensar todas las copias, entonces hay que cambiar el texto de la ley.

El DNI electrónico incluye un Microcontrolador Securizado de STMicroelectronics para tarjetas inteligentes

Deja un comentario

STMicroelectronics, compañía líder en el diseño y fabricación de microcontroladores seguros para aplicaciones de identificación y de tarjetas inteligentes, anuncia que su microcontrolador ST19WL34, certificado con el estándar de seguridad ‘Common Criteria’ EAL5+, está siendo utilizando en el nuevo DNI electrónico (DNIe).

La entrega del nuevo DNI comenzó en febrero de 2006, como culminación de un programa de desarrollo y homologación de tres años de la Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda (FNMT-RCM). La  Policía Nacional ya ha expedido más de 320.000 Documentos Nacionales de Identidad electrónicos, en su paulatina implantación en 38 ciudades pertenecientes a 22 provincias españolas.

“Este proyecto es un ejemplo de cómo la FNMT-RCM se está adaptando a los nuevos retos de la sociedad, participando en el programa de DNI electrónico, que requiere una combinación de nuestro saber hacer y un gran espíritu de innovación”, afirma Valentín Ramírez, Responsable de Desarrollo de Servicios de Documentos de Identificación de la FNMT. “Hemos apreciado la dedicación y soporte de STMicroelectronics en la fase de desarrollo de este proyecto. Además, su experiencia técnica ha propiciado el producto de elevada seguridad y altas prestaciones que un programa como este requería”.

ST tiene un catálogo completo de productos para tarjeta inteligente, que responde a todas las necesidades en seguridad y tamaño de memoria, ofreciendo interfases con y sin contacto. El ST19WL34 es un dispositivo con un interfaz de contactos que ha sido fabricado utilizando la avanzada tecnología de proceso de 0.18 micras de ST y que posee la combinación ideal de rendimiento, seguridad y fiabilidad que el DNI electrónico requería.

“La elección del ST19WL34 para el DNIe, tras cumplir las complejas exigencias técnicas del programa, confirma la reputación de nuestra familia de microcontroladores de elevada seguridad como una solución óptima para esquemas de identificación a largo plazo”, destaca Andreas Raschmeier, Director de Marketing de la División DMA de ST. “Hemos trabajado intensamente con la FNMT durante más de tres años para lograr un resultado excelente en este sistema seguro, fiable y de altas prestaciones”.

El ST19WL34 incluye 34 Kbytes de EEPROM segura para almacenamiento de datos personales y 224 Kbytes de ROM de usuario para el sistema operativo y el código de programa. Los 6 Kbytes de RAM de usuario, combinados con la potencia de proceso del microcontrolador securizado de 8 bits, permiten un procesamiento rápido de datos, un factor esencial para agilizar la personalización de tarjetas de identificación durante la fase de fabricación y para su funcionamiento efectivo sobre el terreno. El microcontrolador permite realizar ciclos de borrado y programación desde 1 a 64 bytes en 1.5 ms.

Este chip también se caracteriza por incorporar un Procesador Aritmético Modular (MAP) de 1088 bit para criptografía de clave pública, y un motor de hardware eDES. Estas herramientas criptográficas avanzadas ofrecen a la aplicación funciones rápidas de cifrado de datos y descifrado, esenciales para el almacenamiento seguro de datos personales, así como para autenticación y firmas digitales. La tecnología EEPROM fiable y el código de corrección de error “single-bit-fail” garantizan que los DNIe tendrán una larga vida. El ST19WL34 está especificado para ofrecer una retención de datos de al menos diez años y una resistencia de 500.000 ciclos de borrado / escritura.

El nuevo DNI electrónico es un proyecto liderado por la Dirección General de la Policía y de la Guardia Civil, tras muchos meses de trabajo de cientos de profesionales en el mismo y una inversión global superior a los 314 millones de euros. Para lograrlo, distintos organismos y departamentos ministeriales han estado trabajando conjuntamente a lo largo de los últimos años, coordinados en una Comisión Interministerial formada por los Ministerios de Presidencia, Interior, Administraciones Públicas e Industria, Turismo y Comercio.

Además, se ha contado con la aportación de empresas punteras en tecnología como principales proveedores, hasta obtener el sistema de certificación de identidad más moderno y seguro de España, validado por el Centro Criptológico Nacional, ente dependiente del Centro Nacional de Inteligencia (CNI). Gracias a todas las medidas de seguridad tomadas, a partir de ahora se contará con la garantía y confianza necesaria en el sistema nacional de identidad en las transacciones telemáticas.

Distintos expertos independientes de todo el mundo consultados por la Dirección General de Policía (entre los que me incluyo) no han dudado en considerar el sistema recién estrenado como uno de los mejores del mundo, tanto por su capacidad tecnológica como por los niveles de seguridad alcanzados. Asimismo, aseguran que este sistema de certificación telemática ofrece las máximas garantías posibles.

DNI-e. Centro de Tecnología del DNI electrónico dirigido al sector empresarial, en especial a las Pymes y Micropymes

1 respuesta

Por su interés, reproduzco el artículo  que Miguel Azorín-Albiñana (Subdirector General de Tecnologías de la Información y las Comunicaciones, del Ministerio de Industria, Turismo y Comercio) ha publicado en la Revista de ASTIC, (Asociación Profesional del Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado) y que define un conjunto de iniciativas del Ministerio de Industria, Turismo y Comercio para impulsar la adopción del DNI electrónico que aplaudo desde este humilde Blog.

La verdad es que me he sentido muy identificado por todo lo que se indica en el artículo.

Entre los puntos clave, cabe destacar:

  • El Centro deTecnología para el DNI-e tiene por objetivo potenciar el uso de la identidad digital, de la firma electrónica, de los documentos electrónicos y de la factura electrónica en el sector empresarial
  • Se está creando un sitio web para soporte y divulgación del uso del DNI-e basado en el gestor de contenidos MS CMS dirigido a los sectores industriales, y en particular a la pyme y micropyme
  • Las diez actuaciones que se están llevand oa cabo estarán terminadas a finales de marzo de 2007 y van a permitir a la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información disponer de un centro avanzado de tecnología sobre el uso del DNI electrónico

El Ministerio de Industria Turismo y Comercio, de acuerdo con lo establecido en el Real Decreto 1554/2004,de 25 de junio, por el que se desarrolla la estructura orgánica básica del Ministerio de Industria Turismo y Comercio, tiene entre sus competencias el diseño y ejecución de proyectos que favorezcan la integración de las tecnologías de la información en todos los ámbitos de la actividad económica y social, y el impulso y la coordinación de los planes, proyectos tecnológicos y programas de actuaciones para el desarrollo e implantación de la sociedad de la información; en especial, lo referente al acceso, la identificación digital y desarrollo en servicios y contenidos, en colaboración con los departamentos, Administraciones y entidades públicas implicados, así como con los sectores económicos y sociales públicos y privados afectados.

Por una parte, el Plan Avanza, aprobado por el Consejo de Ministros del 4 de noviembre de 2005, se orienta a conseguir la adecuada utilización de las TIC para contribuir al éxito de un modelo de crecimiento económico basado en el incremento de la competitividad y la productividad, la promoción de la igualdad social y regional y la mejora del bienestar y la calidad de vida de los ciudadanos.

Por otra, el 7 de julio de 2005, se firmó un acuerdo de colaboración entre el Ministerio del Interior y el Ministerio de Industria, Turismo y Comercio para el desarrollo del proyecto técnico del Documento Nacional de Identidad electrónico.

Mediante el citado Acuerdo, el MITYC adquirió obligaciones relativas a la financiación de una parte del proyecto por un importe de 11.642.000, así como a la colaboración en la definición y extensión de uso del DNI-e, a la difusión y patrocinio en el ámbito de la Sociedad de la información, al asesoramiento en las funcionalidades y capacidades tecnológicas y su adecuación a estándares y normas europeas e internacionales, a la puesta en marcha de un proyecto piloto que permitiese probar los certificados electrónicos incluidos en elDNI-e en los procedimientos internos y externos del Ministerio y a la puesta a disposición de ciudadanos y empresas de la primera ventanilla virtual que aceptase el DNI-e para tramitar los procedimientos externos.

Este acuerdo finaliza el 31 de diciembre de 2006, y si bien está prevista su prórroga de común acuerdo por ambas partes, el desarrollo actual del proyecto aconseja elaborar un nuevo acuerdo, que permita impulsar el proyecto del DNI-e para que sea una realidad para la mayor parte de los ciudadanos.

Fruto de estos acuerdos, el Ministerio de Industria, Turismo y Comercio ha puesto en marcha la creación de un centro de tecnología para el DNI-e dirigido al sector empresarial, en especial a las PYMES y MICROPYMES. El Centro de Tecnología para el DNI-e tiene por objetivo potenciar el uso de la identidad digital, de la firma electrónica, de los documentos electrónicos y de la factura electrónica en el sector empresarial aprovechando la oportunidad que proporcionan los certificados electrónicos contenidos en el DNI-e así como loscertificados de personas jurídicas y de representación que se están expidiendo por los diferentes prestadoresde servicios de certificación reconocidos por el Ministerio de Industria,Turismo y Comercio.

La necesidad de este Centro se ve reforzada por la toma en consideración en el Consejo de Ministros el pasado 17 de noviembre, del anteproyecto de Ley de Medidas de impulso de la Sociedad de la Información, en el que se introducen preceptos dirigidos al empleo de la factura electrónica y el uso de los medios electrónicos en todas las fases del proceso de la contratación, estableciéndose la obligatoriedad de la factura electrónica en el marco de la contratación pública estatal.

El citado anteproyecto de Ley prevé que el Ministerio de Industria, Turismo y Comercio impulsará el empleo de la factura electrónica entre los diversos agentes del mercado, en particular en las pequeñas y medianas empresas y en las denominadas microempresas, con el fin de fomentar el desarrollo del comercio electrónico. En esta línea de actuación, se enmarca el proyecto de creación del Centro de Tecnología para el DNI-e, cuya finalidad es la de dar soporte y asistencia a las pequeñas y medianas empresas en el uso de la identidad digital, en especial en la utilizacióndel DNI-e, así como en los procesosde relación con la Administración; en la celebración de contratos entre empresas, en la firma de documentos electrónicos y facturas electrónicas y en el establecimiento de medios de pago basados en el uso del nuevo DNI-e.

Para la consecución de estos objetivos se han definido las siguientes diez actuaciones:

Desarrollo y optimización de componentes para la firma electrónica basada en el uso del DNI-e

Tomando como base y evolucionando el software desarrollado en la Subdirección General de Tecnologíasde la Información y las Comunicaciones del MITYC se procederán a realizar los siguientes desarrollos:

Componente de firma

El componente actualmente disponible en el Ministerio se basa en tecnología activeX y el estándar de firma XAdES-BES. Deberá modificarse para utilizar otro estándar de firma que permita la inclusión de información adicional de firma (como por ejemplo el sellado de tiempo), utilizando alguno de los estándares definidos por la ETSI (XAdES-T, XAdES-C, …).

Por otra parte su desarrollo como componente activeX limita su utilización al entorno Microsoft. Dado que este tipo de componentes deben de ser multiplataforma se deberá recodificar mediante el uso de JAVA. La especificación ETSI TS 101 903 v1.3.2 define cuatro formatos de firma electrónica avanzada XML (XAdES): Firma básica (XAdES-BES), Firma basada en política explícita (XAdES-EPES), y Firma con tiempo de validación (XAdES-T) y Firma con datos completos de validación (XAdES-C). Estos formatos pueden extenderse dando lugar a Firmas extendida con formato de tiempo (XAdES-X), Firmas largas extendidas con tiempo(XAdES-X-L) y Firmas con archivo (XAdES-A).

Componente de verificación de firma

El componente actual permite la verificación de firmas XML-Signature y XAdES-BES.

Deberá modificarse para que se permita, al menos, la verificación de otros estándares de firma ampliamente utilizados como PKCS#7 o XML-Signature.

Componente de sellado de tiempo

Dada la importancia en las relaciones contractuales de que una tercera parte de confianza pueda dar fe de lafecha en que una transacción entre dos particulares fue realizada, se desarrollará un nuevo componente que permita el sellado de tiempo o «time-stamping».

El estándar de firma utilizado deberá permitir la inclusión de este tipo de información.

Componente de validación de certificados

La Dirección General de la Policía (en adelante DGP) ha llegado a un acuerdo para proporcionar al MITYC acceso a la lista de certificados revocados(CRL) del DNI-e. El Sistema de Gestión de Certificados (SGC) que actualmente existe en el MITYC, realiza la validación de certificados X.509 v3 de laFNMT y de otros prestadores de servicios de certificación mediante el acceso remoto a listas de CRLs (vía LDAP o interfaces normalizados)

Portal de soporte y divulgación

Se está creando un sitio web para soporte y divulgación del uso del DNI-e basado en el gestor de contenidos MS CMS dirigido a los sectores industriales, y en particular a la pyme y micropyme que al menos dispondrá de las siguientes áreas:

  • Área de formación, que reúna todo el material formativo disponible, incluyendo guías, casos de éxito, recomendaciones, manuales así como material multimedia expresamente desarrollado sobre el uso del DNI-e.
  • Área de servicios, que permita el acceso a servicios de valor añadido basados en el uso del DNI-e
  • Área de información, que proporcione información divulgativa sobre la existencia y actividades llevadas a cabo en el Demostrador del Centro de Soporte para el DNI-e

Servicios de Valor Añadido

Se desarrollarán servicios de valor añadido basados en los componentes de firma generados y accesibles a través del portal creado.

Entre ellos se facilitarán las siguientes utilidades relacionadas a continuación.

Servicio de firma de documentos electrónicos

A partir de los componentes de firma desarrollados (ya mencionados) se implementará un servicio de firma de documentos electrónicos accesible vía web.

Servicio de verificación de firma y formato de documentos electrónicos

A partir de los componentes de firma desarrollados se implementará un servicio de verificación de firma y formato de documentos electrónicos accesible vía web.

Servicio de visualización de documentos firmados

A partir de los componentes de firma desarrollados se implementará un servicio de visualización de documentos firmados accesible vía web.

Servicio de sellado de tiempo

A partir de los componentes de firma desarrollados se implementará un servicio de sellado de tiempo accesible vía web.

Servicio de validación de certificados

Incluyendo la validación de certificados de PSC publicados en la web del MITYC y el servicio de validación de los certificados del DNI-e.

Sistema de CRM

En la actualidad el MITYC dispone de una herramienta de CRM desarrollada a partir del producto de software libre OpenCRX que da servicio a las siguientes aplicaciones:

  • Usuarios de Telecomunicaciones
  • Televisión Digital Terrestre
  • Oficina Virtual
  • Servicio de Información Administrativa
  • Ayudas

Se realizará la adaptación de esta herramienta para dar servicio de atención telefónica a las dudas planteadas por los usuarios de los sectores empresariales, pymes y micropymes, en lo relativo a la implantación y utilización práctica de la firma electrónica y la factura electrónica basadas en el DNI-e.

El sistema estará integrado por, al menos, dos niveles técnicos desoporte:

  • Nivel 1, formado por los operadores, que dará respuesta a cuestiones básicas
  • Nivel 2, formado por un grupo de técnicos, que dará respuesta a las preguntas que les sean remitidas por los operadores.

Una vez resueltas serán comunicadas al operador para que remita las respuesta al usuario.

Contenidos divulgativos sobre el uso empresarial del DNI-e

Utilizando como soporte el portal creado para la divulgación del uso del DNI-e por parte del mundo empresarial, se generará documentación que contribuya a su difusión y formación.

Se realizará un estudio previo que permita determinar la justificación o no del uso de una solución de eLearning o blended-eLearning basada en plataforma CMS, LMS o LCMS.

La documentación generada, públicamente disponible, estará integrada por: material multimedia, guías, casos de éxito, recomendaciones y manuales.

Deberá ser de alta calidad tanto técnica como didáctica. Se prestará especial atención a difundir las tareas a realizar por parte de las unidades de informática de las empresas del sector industrial para implantar soluciones basadasen el DNI-e, entre las que destacan:

  • Instalación de certificados raíz y subordinados de la Autoridad de Certificación para el DNI-e en los servidores.Se detallarán las particularidades para los entornos operativos más extendidos en la actualidad (Windows Server 2003, Unix – Solaris, HP-UX- y GNU/Linux – Debian, RedHat, SuSE) y los servidores web más utilizados (Apache y Microsoft IIS).
  • Instalación de certificados raíz y subordinados de la Autoridad de Certificación para el DNI-e en los clientes. Se detallarán las particularidades para los navegadores más extendidos en la actualidad (MS Internet Explorer, Firefox, Opera, Mozilla)
  • Verificación y configuración de los propósitos de los certificados raíz instalados
  • Instalación en los clientes de los módulos criptográficos necesarios para el acceso a los certificados contenidos en el soporte físico del DNI-e para los diferentes. Se detallarán las particularidades para los sistemas operativos y navegadores más extendidos en la actualidad
  • Verificación y configuración de la configuración de seguridad del sistema operativo para permitir la descarga de los componentes necesarios.

Acciones formativas sobre el uso del DNI-e

Se elaborará documentación multimedia en soporte CD/DVD que sirva para realizar acciones formativas dirigidas a empresas y representantes de los diferentes sectores implicados mediante la organización de jornadas sectoriales y seminarios. En particular se dirigirán a:

  • Sectores con relación directa con los consumidores: Financiero, Energético, Telecomunicaciones, Seguros, Grandes superficies, Transporte (aéreo, ferrocarril y autobús), Agencias de viajes
  • Microempresas y PYMES de los siguientes sectores: Eléctrico, Telecomunicaciones, Seguros, Pequeño y mediano comercio, Minero, I+D, Químico, Industrial, Farmacéutico, Agencias de viajes.

Estudio y desarrollo del pago electrónico basado en el DNI-e

Se elaborará un estudio sobre normalización y especificaciones del pago electrónico basado en el DNI-e que garantice la interoperabilidad y estandarización de los sistemas a implementar, sin necesidad de utilizar un nodo intermedio, a través de un mecanismo bilateral entre el ordenante del pago y la entidad financiera que origine un movimiento de fondos a favor de una Administración Pública.

Tratándose de un elemento esencial para el desarrollo del comercio electrónico, cobra especial importancia el papel a desempeñar por operadores de telecomunicaciones, entidades financieras y legisladores.

Entre la normativa jurídica a considerar se encuentra la Ley 44/2002,de 22 de Noviembre, de Medidas de Reforma del Sistema Financiero (transposición de la Directiva 2000/46/CE) y la Ley 19/1985, de 16 de Julio, Cambiaria y del Cheque. El sistema que se desarrolle permitirá realizar operaciones telemáticas de pago basándose en la utilización de la firma electrónica reconocida.

Constará de dos subsistemas, uno a implementar en cualquier Organismo Público que recaude por vía telemática tasas y precios públicos (en adelante ORC, Organismo Responsable de Cobro), y otro en la Entidad Financiera de que se trate.

Estudio y desarrollo del documento y la factura electrónicos basados en el DNI-e

Se elaborará un estudio orientado a la definición del formato normalizado para el documento electrónico y la factura electrónica basados en el DNI-e, a partir del formato definido por la AEAT.

El núcleo jurídico actual para lafactura electrónica está integrado por la Orden HAC/3134/2002, de 5 dediciembre, sobre un nuevo desarrollo del régimen de facturación telemática, y la Resolución 2/2003 de 14 defebrero del Director General de la AEAT. Con la entrada en vigor del Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación, y se modifica el Reglamento del Impuestos obre el Valor Añadido, se consolida la posibilidad de remitir las facturas por medios electrónicos, con el consiguiente ahorro de costes para las empresas.

Las obligaciones de las empresas que emiten facturas electrónicas son las siguientes:

  • Conservar los datos de las facturas. No es necesario conservar lasfacturas emitidas sino la «matriz» o Base de datos que permite generarlas
  • Asegurar su legibilidad en el formato original
  • Garantizar el acceso completo alas facturas: visualización, búsqueda selectiva, copia o descarga en línea e impresión
  • Firmar electrónicamente la factura o delegar esta acción en un tercero (subfacturación) o en el Receptor (autofacturación)
  • Contar con la aceptación por parte del receptor respecto al uso de esta modalidad de facturación

Las obligaciones de las empresas que reciben facturas electrónicas se resumen en:

  • Conservar las facturas recibidas en su formato original (electrónico) incluso aunque hayan sido necesarias transformaciones de datos internas. O delegar esta función en un tercero
  • Conservar la factura impresa con marcas gráficas PDF-417 (formato poco recomendable), o almacenada en otros tipos de soporte
  • Asegurar legibilidad en formato original
  • Garantizar acceso completo a las facturas: visualización, búsqueda selectiva, copia o descarga en línea e impresión
  •  Disponer de software que permita verificar la firma y la identidad del emisor, así como la vigencia del certificado

La e-factura deberá incorporar firma electrónica reconocida.

El sector financiero, de común acuerdo con la AEAT, propone un formato estándar de factura electrónica dirigido a las entidades de depósito y, en general, a quienes estén interesados en adoptarlo y que reúne las siguientes características:

  • Cumplimiento de los requisitos legales establecidos y de las condiciones establecidas por la AEAT para la facturación telemática
  • Universal: pueden utilizarlo todas las entidades de depósito y sus clientes
  • De libre uso: su utilización y posterior modificación no está sujeta al pago de cánones o a la autorización previa de una organización ajena al sector
  • Gratuito: se puede distribuir gratuitamente a las entidades de depósito y a sus clientes
  • Datos específicos de otros sectores económicos: preparado para admitir información consensuada y relativa a otros sectores económicos
  • Información Factoring: Permite registrar, opcionalmente, datos específicos de Factoring
  • Formato flexible, de fácil implementación e interoperabilidad, por lo cual, se ha seleccionado el lenguaje XML.

Sistema de verificación de la compatibilidad de los lectores de tarjetascon el DNI-e

Se desarrollará un sistema para la verificación de la compatibilidad de los lectores de tarjetas criptográficas con el DNI-e.

El laboratorio de pruebas del MITYC, a petición de empresas importadoras, fabricantes o distribuidoras, emitirá un distintivo que acredite la compatibilidad de lectores de tarjetas criptográficas con el DNI-e.

Estudio sobre el impacto y posible utilización del DNI-e en cajeros y terminales de puntos de venta

A partir del análisis del parque de cajeros automáticos de entidades financieras y TPVs existentes actualmente en el mercado español, se realizará un estudio sobre las posibilidades y servicios a ofrecer a través de estos dispositivos mediante el uso del DNI-e.

Las diez actuaciones que se estánllevando a cabo estarán terminadas a finales de marzo de 2007 y van a permitir a la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información disponerde un centro avanzado de tecnología sobre el uso del DNI electrónico que será responsable de ofrecer al sector empresarial, PYMES y MICROPYMES asesoramiento, formación especializada, soluciones, componentes, servicios y programas para utilizar la firma electrónica, los documentos electrónicos y la factura electrónica, actuaciones que serán decisivas para incorporar las TIC en estos sectores, para el desarrollo del comercio electrónico y con ello el impulso y desarrollo de la Sociedad de la Información.

Las evidencias electrónicas en los juicios

1 respuesta

Por su interés, transcribo este artículo de Ricardo Noreña, de Ernst & Young, buen amigo, experto con el que he mantenido interesantes debates en relación con este tema.

En nuestras actividades cotidianas, cada vez es más frecuente el uso de dispositivos informáticos. Esta generalización en el uso de la tecnología ha llegado igualmente al mundo del fraude en el ámbito empresarial, en el que los sistemas informáticos y la información han pasado a ser el medio o el fin último para todo tipo de delitos. Por este motivo, las evidencias digitales se han convertido en la piedra angular de muchas de las investigaciones que se realizan para identificar a los responsables de las irregularidades, proteger la imagen de las empresas, limitar los daños y recuperar la pérdida económica causada.

En numerosas ocasiones estos casos finalizan en los Tribunales de las diferentes jurisdicciones (penal, laboral, civil y/o contencioso-administrativa).

En principio, las evidencias digitales pueden causar escepticismo ya que son intangibles, modificables y volátiles por naturaleza.

No obstante, este tipo de evidencias son tan válidas ante un Tribunal como cualquier otra, siempre y cuando seamos capaces de demostrar que han sido tratadas de forma adecuada y se garantice la integridad (no modificación) de las mismas.

Con elevada frecuencia, los administradores de red de la compañía alteran de forma involuntaria la escena, al acceder a los sistemas informáticos implicados para realizar una pequeña investigación por su cuenta, sin tomar ningún tipo de precaución. La consecuencia inevitable de esta alteración del escenario es la pérdida de información que, en ocasiones, puede resultar vital para la investigación.

Una prueba digital recogida en un escenario alterado podría ser invalidada en un posterior proceso judicial.

Para realizar de forma adecuada una investigación forense en la que existan evidencias digitales hay que llevar a cabo una serie de pasos. Primero: asegurar la escena. El objetivo es evitar la pérdida o la alteración de la información. Para abordar este paso, deberían establecerse unos procedimientos de actuación claramente definidos que seguirán los administradores de red de la sociedad. En segundo término, identificar las evidencias: un análisis exhaustivo de los sistemas informáticos de la compañía y de la naturaleza del incidente a investigar, nos permitirá identificar las fuentes relevantes de información para el objeto de la investigación. Seguidamente, capturar las evidencias: la adquisición de las evidencias digitales se realiza mediante técnicas forenses apropiadas para cada tipo de evidencia y garantizando en todo momento la no alteración del contenido de las mismas.

Una vez adquiridas es importante aplicar un algoritmo matemático o función «hash», cuyo resultado garantiza la integridad de la evidencia. En cuarto lugar, preservar las evidencias. Las evidencias digitales se duplican y se custodian en un lugar seguro libre de cargas estáticas que puedan dañar la evidencia y asegurando su integridad. Más tarde, analizar las evidencias: en un laboratorio forense seguro, con la metodología y los recursos adecuados, es posible obtener una gran cantidad de información de las evidencias digitales recopiladas. Y por último: presentar los resultados.
El Informe Pericial debe recoger un análisis claro y concluyente de las evidencias digitales aportadas.

Todo este proceso puede resultar algo complejo pero la clave del éxito es disponer de un grupo de profesionales multidisciplinar y altamente cualificado, con una metodología de trabajo con evidencias digitales sólida, bien estructurada y aceptable ante un Tribunal, lo que permitirá ratificar el resultado final de una investigación delante de un juez.

Posibilidades y oportunidades del e-DNI como sistema de identificación electrónica

1 respuesta

El próximo 14 de marzo estaré en el CIT 2007, que este año celebra su décimo aniversario. El evento, coordinado por Trinidad Villar, se ha convertido el la cita anual obligada del sector financiero y de otros (sanitario, transporte) en los que también se emplean diferentes tipos de tarjetas.

Agradezco la invitación del IIR a presidir la jornada de este día dedicada al DNI electrónico, tema que me apasiona y para el que además de mi conferencia están previstas otras de excelentes ponentes.

Transcribo el programa previsto para este día. 

8.45 Recepción de los asistentes y entrega de la documentación
9.00 Café de bienvenida y visita a EXPOcit 2007SPEED NETWORKINGLa oportunidad de saludar a sus colegas antes del inicio de la Sesión en una atmósfera relajada e informal
9.25 Apertura de la Sesión por el Presidente de la Jornada
9.30 Retos de la implantación de sistemas y aplicaciones que permitan aceptar el DNI electrónico para firmar y para identificar al usuario. Medidas tecnológicas que tendrán que llevar a cabo las entidades para adaptarse a la nueva realidad• Adaptación de oficinas y cajeros
• Formatos de firma
• Validación de certificados
• Inclusión de sellos de tiempo
• Almacenamiento de documentos electrónicos con valor probatorio
• La copia en papel para el usuario:su valor probatorio como documento electrónicoJulián Inza Presidente ALBALIA INTERACTIVA
10.15 Implicaciones del DNI electrónico: ventajas derivadas del DNI electrónico en la contratación presencial. DNI electrónico como sistema de autenticación: beneficios y aplicaciones La experiencia práctica de Inversis Banco• Retos de la banca on line que puede solucionar el DNI electrónico
• Auténtico sistema de identificación y herramienta para prevenir el fraude de la banca on line
• Protocolo de actuación ante el delito en entidades financieras
• Fraudes con falsificación documental contra entidades financierasFrancisco Margarite Director de Tecnología INVERSIS BANCO
11.00 Café y visita a EXPOcit 2007
12.00 DNI y las entidades financieras. Interacción del e-DNI en tarjetas financieras La experiencia práctica de Banc Sabadell• ¿Podrán las entidades pedir un segundo documento para asegurar la transacción on line?Pol Navarro Director de Canales Remotos BANC SABADELL
12.45 La incorporación de RFID en los futuros pasaportes y DNIs electrónicos, posibilidades, oportunidades y problemas que se pueden derivar• Qué información puede ser almacenada en el chip, ¿puede significar un ataque a la libertad personal?
• Mecanismos de protección de la información frente a captación de la comunicación inalámbricaJuan Crespo Inspector Jefe DIRECCION GENERAL DE LA POLICIA
13.30 Impacto real del e-DNI en el comercio electrónico• ¿El e-DNI acelerará el comercio electrónico y los negocios en internet?
• Qué nuevas e innovadoras oportunidades abrirá para empresas de distintos sectores
• Qué nuevos servicios potenciará y cómo serán para todos los ciudadanos
• ¿Se ha conseguido agilizar, simplificary abaratar la relación con laAdministración tal y como prometía el e-DNI?
• ¿Se ha mejorado la capacidad contractual digital de las empresas con total seguridad y sobre todo con iguales garantías a las ofrecidasen el mundo real?Luis Cadarso Presidente AECE
14.15 Coloquio
14.30 Almuerzo
16.00 Validación de firmaIgnacio Alamillo Responsable de Asesoría Jurídica CATCERT
16.45 Apuesta de países europeos por distintos sistemas de identificación digital. Cómo prevenir el fraude en la identificación La experiencia práctica del DNI italiano• Aspectos técnicos informáticos sobre el uso del certificado digitalEnrico Nardelli Responsable del DNI Italiano
17.45 Café y visita a EXPOcit 2007
18.15 Cómo autenticar al titular de un documento identificativo en sistemas no presenciales• ¿Es la biometría una alternativa razonable?, si es así, ¿hasta qué punto se puede llegar?
• ¿Se debe utilizar la misma tecnología en documentos oficiales que en documentos privados?, ¿la implantación debe ser la misma?Raúl Sánchez Reillo Director del Grupo Universitario de Tarjeta Inteligente UNIVERSIDAD CARLOS III DE MADRID
19.00 Fin de la Sesión 3
 

Rescate de proyectos de Factura Electrónica

2 respuestas

Gracias a los múltiples cursos y seminarios que impartimos en Albalia Interactiva sobre Factura Electrónica, vamos siendo bastantes conocidos en esta especialidad (supongo que en los últimos meses ha influido también el que yo sea el coordinador del Grupo de Trabajo de eFactura de ASIMELEC).

Hace unos días echábamos cuentas y llegamos a la conclusión de que desde el año 2004 hemos impartido más de 50 seminarios de factura electrónica y hemos formado en este tema a más de 2.000 personas .

En ocasiones nos llaman para impartir formación «in-company» en una empresa que «ya tiene hecho el proyecto» y requiere que el personal implicado reciba una cierta capacitación.

Y es entonces cuando vemos que muchos proyectos se han quedado «a medias». Por formatos de factura, por modalidades de firma, por la correcta cumplimentación de los campos obligatorios de la factura, por la consideración equivocada de las notas de abono (que no existen, en su lugar se deben utilizar las facturas rectificativas) ,…

Es cierto que hay bastantes empresas técnicas y consultoras que se han subido al carro de la «factura electrónica» y prometen la «solución completa» a sus  clientes, pero como en el chiste del infierno español, cuando no falta la escalera, falta la brocha, y si no el bote de pintura.

La correcta implementación de un proyecto requiere analizar las necesidades y el rol principal de la empresa frente a sus interlocutores (de emisión o de recepción de facturas), conocer el impacto que la normativa tiene en su operativa actual y en la que se implantará tras el proyecto, definir el formato de firma y de factura de la forma que más sencillo sea el uso para el receptor de factura, seleccionar el Prestador de servicios de certificación, redactar cláusulas en los «trading partner agreements», definir si se usará un Dispositivo Seguro de Creación de Firma en la forma de un HSM (hardware security module), resolver el sistema de timestamping y de validación OCSP,…

La solución completa, si se quiere hacer bien, requiere de ciertos conocimientos de estándares de firma y factura electrónicas, cuya ignorancia es  asumible en una PYME, pero no en quienes les proporcionan las soluciones técnicas. Y desde luego, en las grandes empresas que dedican recursos técnicos y económicos de cierta envergadura, son inaceptables las «chapuzas» que estamos descubriendo, en algunos casos, tras proyectos llevados a cabo por consultoras y empresas tecnológicas «grandes».

En este contexto me preocupa el papel de las entidades financieras. Se espera de ellas que proporcionen un interfaz a sus clientes que diluya la aparente complejidad de un buen sistema de factura electrónica en un entorno de uso sencillo. Y con probabilidad van a ser la palanca arquimediana que dispare la adopción de la factura electrónica en las PYMES. Por eso, su responsabilidad es mayor. Afortunadamente, unas pocas iniciativas que conozco bastante bien van bien orientadas y espero que sirvan de modelo para sus competidores. Pero la información indirecta que recibo de otras me provoca cierta inquietud.

Cuando nos avisan con cierto margen podemos dar en las empresas ciertas indicaciones que ayuden a sus responsables a tomar las decisiones correctas en el proyecto, y lo esencial de nuestra asesoría se puede desarrollar en un par de días. Pero si el proyecto está avanzado, explicar qué es lo que se está haciendo mal es un poco frustrante para quienes ya llevan invertido tiempo y dinero. Por eso prefiero que nos convoquen para el «rescate de proyectos» de factura electrónica en las etapas más tempranas que sea posible.