Archivo de la categoría: Administración Electrónica

Autenticidad de documentos electrónicos con CSV (Código Seguro de Verificación)

10 respuestas

Estas días pasados he colaborado en la discusión sobre CSV (Código Seguro de Verificación) y su encasillamiento dentro de las variantes de firma electrónica de la normativa de administración electrónica, que ha tenido lugar en un grupo de LinkedIn centrado en la eAdministración.

Aunque el debate, muy interesante, es más amplio, quisiera transcribir aquí mis ideas relativas al cartulario electrónico, que no es sino la actualización de la idea de cartulario medieval, conocido por los diplomatistas.

En primer lugar, pese a lo que establezca la letra de la ley 11/2007 (que bien puede deberse al resultado de un comité donde no todo el  mundo tuviera las ideas claras), el CSV no es un tipo de firma electrónica, aunque se pueda hacer encajar en la «firma simple» que no definía la Ley 59/2003 (efectivamente, la describía sin concederle un término legal, aunque se ha popularizado el de «firma simple»).

Por desgracia la inclusión del CSV en la Ley 11/2007 (y en la normativa de desarrollo RD 1671/2009) ha servido para aumentar la confusión de tecnológos y juristas. Y es una pena, porque el CSV es un concepto tremendamente importante cuando se acompaña del de «sede electrónica» y el de metadatos (por cierto, metadatos singulares menos obvios que «autor», «tipo de documento», o «fecha de creación»).

Aunque probablemente la mejor forma de gestionar el CSV o localizador es a través de un tercero de confianza (y un ejemplo clásico es el notario y su número de protocolo), es posible que una entidad que gestione de forma diligente el sistema de referencias auténtico con una base de datos en las que se apliquen unas correctas medidas de seguridad auditables (para lo cual el Esquema nacional de Seguridad da algunas ideas), pueda manejar los CSV de forma intachable.

En todo caso, un documento electrónico (firmado electrónicamente o no) puede ser referenciado con dos componentes:

  • La identificación de la sede electrónica y
  • el localizador del documento en la sede (CSV)

Si el localizador es predecible, lo denominamos CVE, Código de Verificación Electrónica (como en el BOE) y si es impredecible, lo denominamos CSV, Código Seguro de Verificación.

Cuando la información de URL de la sede electrónica y el localizador se incluyen en un documento en papel que incluye también la representación facsimilar del documento electrónico, estamos ante un mecanismo de transporte de la evidencia electrónica que llamamos «albalá» y que se puede utilizar como prueba directa en juicio. El término se ha rescatado del concepto clásico de Albalá, conocido por los historiógrafos (carta o cédula real, emitida por una cancillerá y en la que detallaba una merced o una provisión; el albalá se rubricaba con la firma real, mientras que en el albalá que transcribe un documento electrónico, la clave de su autenticidad radica en incluir la información sobre la sede electrónica y el CSV).

Si la parte perjudicada por su aportación pusiera en duda su autenticidad, el secretario judicial podría destruir la controversia cotejando el documento en su fuente, o generando un nuevo albalá correspondiente a la identificación Sede+CSV y, en cualquiera de los casos, generando la diligencia que certifica la autenticidad del documento ( de forma semejante a una compulsa digital).

Un mero «recibo» que solo recoja la URL de la sede y el localizador surtiría el mismo efecto.

Los sistemas basados en localizadores son imprescindibles en la gestión de documentos electrónicos auténticos ya que aportan 3 propiedades que no se pueden lograr con la mera aplicación de la firma electrónica:

  • Obliterabilidad
  • Endosabilidad
  • Completitud

Y para ello necesitan complementarse con metadatos específicos, que, por desgracia, nadie ha tenido en cuenta en la reciente publicación (en el BOE de 30 de julio de 2011) de las Normas Técnicas de Interoperabilidad asociadas al desarrollo del ENI (el Esquema Nacional de Interoperabilidad).

Muchos de los conceptos que aplicamos en relación con la identificación de sede electrónica y código localizador, tienen su origen conceptual en los cartularios medievales (denominados también «tumbos» o «becerros»), donde la ordenada llevanza de la colección documental se complementaba con las medidas convencionales de legitimación y aseguramiento de la identidad de los firmantes en la zona de cada documento denominada «escatocolo».

De modo que el cartulario digital y la firma electrónica son dos instrumentos distintos y complementarios de la gestión de la autenticidad de los documentos electrónicos, y la «diplomática digital» la disciplina que tiene en cuenta ambos (junto con algunos aspectos más) para analizarla.

Otros artículos en los que he tratado temas afines a este han sido:

Seminario de «Diplomática Digital»

1 respuesta

El día 22 de Septiembre de 2011 se celebrará en las instalaciones de Atenea Interactiva, el seminario sobre la emergente disciplina Diplomática Digital, que se centrará en las siguientes áreas de conocimiento:

  • La Diplomática de Jean Mabillon
  • La Nueva Diplomática Digital del siglo XXI.
  • Normativas Aplicables.
  • Documentos Electrónicos y de Papel.
  • Digitalización Certificada.
  • Firma Electrónica.
  • Digitalización para Sector Público y Privado.
  • Entornos Jurisdiccionales.
  • Conceptos de Diplomática Digital presentes en la Ley 11/2007

El seminario no tiene coste si se bonifica a través de la Fundación Tripartita (450 € en caso contrario).

La diplomática es una ciencia auxiliar de la historia que se ocupa de la autenticidad de los documentos y que, aunque definidida inicialmente en 1681 con la obra “De re diplomática” de Jean Mabillon, ha dado lugar al concepto de “diplomática contemporánea”, uniformizada en el ámbito de las Administraciones Públicas gracias a la Ley 30/1992.

Aunque con la Ley 11/2007 se les ha dado un nuevo impulso a los aspectos digitales, a la hora de su implantación práctica se necesita manejar conceptos de forma  más holística de manera que sea posible resolver las dudas de aplicación más allá de la letra de la ley.

Asimismo, en el Sector Privado, la LSSI y el artículo 2 de la Ley 56/2007 consiguen proporcionar una orientación en la Gestión Electrónica de Documentos. Sin embargo, en muchas ocasiones surgen dudas sobre el valor jurídico de muchas de las iniciativas destinadas a mejorar la eficiencia en la Gestión de Documentos, por lo que es preciso tener claros los conceptos detrás de los proyectos de desmaterialización documental, con los que, bien realizados, se experimentan ahorros de decenas de millones de euros (en función de la dimensión de los proyectos) y períodos de recuperación de la inversión de entre 9 y 12 meses.

Completando el conjunto de herramientas legales en el sector privado, la reciente  Ley 25/2011, de 1 de agosto, de reforma parcial de la Ley de Sociedades de Capital define también la sede electrónica para las empresas, lo que permite consolidar las ideas de la diplomática digital en relación con la custodia digital.

En este seminario se desarrollan los conceptos claves a manejar, de la mano de expertos en Gestión Documental Electrónica de carácter probatorio, y se contextualizan en el marco jurídico español, aunque las ideas claves son de aplicación universal.

La Factura Electrónica en el Consejo de Ministros

2 respuestas

El Consejo de Ministros del pasado 19 de agosto de 2011 aprobó iniciativas muy interesantes, y, entre ellas, dos relativas a la factura electrónica.

Un punto único recibirá todas las facturas electrónicas dirigidas a la Administración General del Estado.

  • Facilitará la relación de las empresas con la Administración y acelerará la implantación de la factura electrónica en los procesos administrativos.
  • El Ministerio de Industria y el Ministerio de Política Territorial y Administración Pública promoverán el uso de la factura electrónica en el sector público y privado, principalmente entre las pymes.
  • Se creará el Foro Nacional Multilateral sobre facturación electrónica, de carácter consultivo, que representará a España en el Foro Europeo promovido por la Comisión Europea.

El Consejo de Ministros del 19 de agosto de 2011 ha aprobado un Acuerdo para impulsar la implantación y el empleo de la factura electrónica, apoyando su difusión en el ámbito público y privado, y creando un Foro Nacional Multilateral sobre facturación electrónica.

La factura electrónica es un documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que impide el repudio de la factura por su emisor.

La introducción de la factura electrónica en las organizaciones supone una mejora en la eficiencia en la gestión administrativa y contable, y posibilita ahorros de costes tanto de los emisores como de los receptores de facturas electrónicas. Los mayores beneficios se alcanzan cuando se produce la integración automatizada del proceso de facturación electrónica en los sistemas de gestión de las organizaciones.

Con este objetivo, el acuerdo de fomento de la factura electrónica aprobado hoy prevé la adopción de las siguientes medidas:

  • El Ministerio de Industria, Turismo y Comercio ejercerá las competencias estatales en materia de difusión del uso de la factura electrónica en España en el sector privado, en particular, en las Pyme.
  • El Ministerio de Política Territorial y Administración Pública ejercerá las competencias en materia de difusión del uso de la factura electrónica en la Administración General del Estado.
  • Se crea, en el marco de la Ley de Organización y Funcionamiento de la Administración General del Estado de 1997, la Comisión Técnica para la difusión del uso de la factura electrónica, de carácter consultivo, con el objetivo de asistir a los Ministerios de Industria, Turismo y Comercio, y de Política Territorial y Administración Pública, en el desarrollo de las competencias antes señaladas.
  • El Ministerio de Política Territorial y Administración Pública, a través de la Secretaría de Estado para la Función Pública, liderará la definición y desarrollo en 2011 de un servicio central de gestión de la facturación electrónica, que incluye un «Punto General de Entrada de Facturas Electrónicas», para el ámbito de los órganos de la Administración General del Estado, sus organismos autónomos y agencias estatales definidas en la Ley del 18 de julio de 2006. Este servicio de gestión será el medio único para la recepción y distribución de facturas electrónicas, y podrá proporcionar funciones de almacenamiento y custodia de las facturas electrónicas.
  • Creación del Foro Nacional Multilateral sobre facturación electrónica.

Foro Nacional sobre facturación electrónica

Este Foro, creado bajo el marco de la Ley de Organización y Funcionamiento de la Administración General del Estado de 1997, tendrá carácter consultivo. Según el acuerdo, estará compuesto por los miembros de la Comisión Técnica para la difusión del uso de la factura electrónica mencionada anteriormente, así como por representantes del sector.

También podrán participar en el Foro Nacional los representantes en la Comisión Permanente del Consejo Asesor de Telecomunicaciones y para la Sociedad de la Información de las Comunidades Autónomas y de la Federación.

Entre sus funciones destacan las siguientes:

  • Proponer iniciativas para promover la adopción de la factura electrónica en España en ámbitos tales como el normativo o la estandarización e interoperabilidad.
  • Asesorar en la elaboración y puesta en marcha de actuaciones para la difusión del uso de la factura electrónica en España.
  • Colaborar en las acciones para difundir el uso de la factura electrónica en España, en particular en el ámbito de las Pyme.
  • Facilitar el intercambio de experiencias y buenas prácticas en el proceso de desarrollo e implantación de la factura electrónica en España.
  • Realizar, en su caso, análisis y estudios sobre la adopción de la factura electrónica en los diferentes sectores económicos.

A su vez, representantes del Foro Nacional formarán parte del Foro Europeo Multilateral sobre facturación electrónica (Foro Europeo), promovido por la Comisión Europea. El Foro Europeo estará compuesto por representantes de los Foros Nacionales y de asociaciones europeas vinculadas al desarrollo e implantación de la factura electrónica, así como por otras organizaciones y grupos de trabajo con el objetivo de facilitar el intercambio de experiencias y buenas prácticas y para asistir a la Comisión en la identificación de medidas que faciliten la adopción y generalización del uso de la factura electrónica en todos los Estados miembros.

Construíndo a identidade dixital

Deja un comentario

Ya mencioné hace unos días mi participación en el evento Construyendo la identidad digital que tuvo lugar el 26 de enero de 2011 impulsado por el Colexio Profesional de Enxeñaría en Informática de Galicia y la Xunta de Galicia.

Relacionada con aquel evento se preparó una publicación (que elaboró la consultora Bahía Software) con reflexiones de los participantes en el evento sobre la posible evolución de la firma electrónica en un país tan puntero en ese tema como es España. Lo que sigue a continuación es la sección dedicada a Albalia Interactiva y a mi persona. En el enlace de más arriba se puede obtener el documento completo.

Albalia Interactiva

Albalia Interactiva é unha empresa de Consultaría e Servizos, de capital español, creada en 1997, con experiencia en ámbitos de alta tecnoloxía bancarios e de telecomunicacións.

Entre as súas especializacións están a seguridade, sinatura electrónica, factura electrónica, Administración electrónica, banca electrónica, medios de pagamento e mobilidade.

O enfoque seguido é de «Tecnoloxía Legal». É dicir, Albalia leva a cabo un intenso seguimento de todos os avances lexislativos que teñen implicacións tecnolóxicas no ámbito tanto das entidades financeiras coma noutros tipos de empresas nos que este enfoque sexa significativo. Deste xeito descóbrense interesantes posibilidades que poden ser aproveitadas polas entidades máis avanzadas ou máis preocupar polo servizo ao cliente e, noutras ocasións, identifícanse normas que implican obrigas para as entidades, o que se engloba nas necesidades de «Compliance» ou cumprimento normativo.

Albalia Interactiva desenvolve proxectos de Hacking Etico mystery shopping, Factura electrónica, UBL, XBRL, Siantura electrónica, Mobipay, DNI dixital, PDF intelixente, Voto electrónico, LOPD-LSSI, UNE 71502, ISO 17799, UNE 166001 e 166002, e-notario créditos persoais, e-notario hipotecario, tarxetas intelixentes, PKI, Single Sign On, Evidencias Electrónicas e Análise Forense.

Entrevista a Julián Inza

 «O noso valor engadido fundamental é a seguridade xurídica que achegamos en todos os procesos con documentos dixitais»

O presidente de Albalia Interactiva destaca como peculiaridade da compañía a sinerxía con empresas do grupo, en función das accións que realiza: de consultoría,de formación e de desenvolvemento de produtos e servizos.

Para Inza a complexidade das implementacións prácticas do uso do DNI electrónico están a atrasar o cambio esperado respecto ao descoñecemento ou indiferenza da cidadanía ante a certificación dixital.

A seguridade xurídica que ofrece Albalia Interactiva en todos os procesos nos que poida aplicarse a sinatura electrónica e certificación dixital é, segundo o presidente da entidade, Julián Inza, o valor engadido fundamental da marca. O grupo de consultoría e servizos relacionados coa certificación dixital e as novas tecnoloxías nace en 1997, como Libraría Interactiva. En 2003 créase Albalia Interactiva, enfocándose na consultoría técnica e xurídica e no desenvolvemento de solucións de seguridade, e a Libraría Interactiva transfórmase en Atenea Interactiva, a empresa do grupo especializada en formación. Albalia especialízase na seguridade, sinatura, factura, administración, comercio e banca electrónicas, así como en medios de pagamento e mobilidade. En 2009 nace EADTrust, a terceira empresa do Grupo, como PSC, Prestador de Servizos de Certificación. Especialmente dende 2003 o seu perfecto coñecemento da lei e da súa aplicación foi a clave da empresa, que ofrece aos seus clientes e usuarios esa seguridade xurídica en todas as súas accións. Ademais, outro valor que ofrece a compañía é o seu traballo como consultora e auditora en dixitalización certificada para empresas que desexan homologar as súas solucións ante a Axencia Tributaria. O proceso crea documentos dixitais a partir dos de papel e co seu mesmo valor. Ou, noutros contextos, é posible crear documentos que nacen de sinatura electrónica preservando o máximo valor probatorio, mesmo en instancias xurisdicionais centradas na presentación de probas en formato papel. «Podemos garantir que un documentoelectrónico ben xestionado iguala e supera en valor probatorio a un papel», explica Julián Inza.
Unha das peculiaridades do Grupo Interactiva é a súa organización estruturada en función das accións que realiza. Deste xeito, Albalia céntrase na consultoría, auditoría e prestación de servizos; Atenea Interactiva oriéntase á formación; e EADTrust é un PSC que usa e comercializa en forma de servizos os produtos desenvolvidos por Albalia. Segundo explica o presidente da compañía, o coñecemento e formación que ofrece Atenea céntrase especialmente nos campos da factura, sinatura e administración electrónicas, ademais de abordar calquera novidade legal relacionada directa ou indirectamente coa certificación dixital. O extenso e intenso labor de investigación que desenvolve esta organización permite despois aproveitar os seus avances en materia de auditoría e consultoría en Albalia. Pola súa banda, EADTrust traballa no campo do timestamping para completar a sinatura electrónica; na publicación fidedigna do perfil do contratante; na custodia de documentos electrónicos; na notificación fidedigna e no voto electrónico. Así, Julián Inza apunta que o Grupo ten dúas maneiras de enfocarse ao cliente: como consultora, que achega algúns produtos tecnolóxicos de confianza dixital, a través da firma Albalia, e como prestador de servizos de eConfianza na nube TIC a travésde EADTrust.

O enfoque de Albalia Interactiva é de tecnoloxía legal, é dicir, dende a empresa realízase un intenso seguimento de todos os avances lexislativos que teñen implicacións tecnolóxicas no ámbito das entidades financeiras, das administracións públicas e doutro tipo de empresas nos que este enfoque sexasignificativo. Deste xeito encóntranse posibilidades interesantes que poden ser aproveitadas polas entidades máis avanzadas ou máis preocupadas polo servizo ao cliente, ao tempo que se identifican normas que implican obrigas para as entidades, o que se engloba nas necesidades de cumprimento normativo.

Usos do certificado dixital

Respecto ao uso da certificación dixital, o presidente de Albalia Interactiva teno claro, é a Administración Pública «a que está a tirar do carro» e onde máis se impulsou esta nova tecnoloxía. «Os cidadáns aínda non son conscientes da versatilidade da sinatura electrónica», asegura Julián Inza, quen considera que a Administración Pública está sendo o tractor que impulsa o desenvolvemento destatecnoloxía e doutras conexas, como a custodia dixital representada pola sede electrónica e o código localizador CSV (Código Seguro de Verificación). De feito, para Inza a lenta adopción destas novas tecnoloxías entre a cidadanía explícanse tamén polo xeito tan complexo co que os implementadoresde solucións como o rexistro electrónico ou os sistemas de interlocución telemática tratan o DNIelectrónico, que provoca o rexeitamento ou indiferenza da poboación ante esta nova tecnoloxía. «Haique facelo máis sinxelo para o usuario, cos medios actuais pódense evitar fallos exasperantes ou tarefas repetitivas sen valor» insiste Inza.

Nesta liña, Julián Inza apunta a outros campos onde o uso do certificado dixital será interesante e terá grande importancia no futuro, como son a banca, a sanidade, a universidade e as empresas denominadas «de utilities», é dicir, que ofrecen servizos de telecomunicacións, luz, auga ou gas, entre outros. Son as entidades coas que os cidadáns interactúan frecuentemente e están obrigadas a dispoñer de sistemas de «interlocución telemática» ou a garantir o dereito dos cidadáns a relacionarse con elas por medios electrónicos.

Consultado sobre a transición do mundo do papel ao mundo electrónico, o presidente de Albalia Interactiva explica que ata o momento o mecanismo básico da xestión da sinatura está sustentado en «parábolas» dixitais do mundo físico, onde o paradigma é o formato PDF, » e practicamente o pouco que se fixo no sector privado é a sinatura de ficheiros PDF». Así, recorda que estes documentos enPDF teñen moitas carencias, que os do mundo do papel non teñen, e é que dependen do concepto de documento orixinal, que non existe no mundo dixital senón como convencionalismo. E é que, segundo explica Inza, cando tes un papel orixinal ese documento ten unha serie de calidades que o transcenden: a obliterabilidade; a endosabilidade e a completitude. Nos documentos electrónicos esas calidades desvincúlanse do concepto de orixinal e xestiónanse separadamente con sistemas decustodia dixital e unha definición intelixente dos metadatos axeitados, máis próxima á xestión informática transaccional, que á documental.

Neste contexto hai que sinalar o significado destes termos. A obliterabilidade implica a posibilidade de que un documento represente un dereito e deba quedar rexistrado se se fixo uso ou non do derei to. Por exemplo, un billete de autobús cancélase ao montar no autobús e non se pode reutilizar nofuturo. A endosabilidade implica a posibilidade de transferir a outro o dereito que reflicte un documento, algo relativamente doado de xestionar nos documentos nominativos e máis complexo nosdocumentos ao portador. O exemplo típico é o da letra de cambio ou os títulos valores (accións). A completitude é a capacidade de engadir anotacións á marxe, nos espazos libres ou engadindo follas,ou mesmo reflectindo elementos doutros documentos. Un exemplo é o dun contrato que reflicta aexistencia dun anexo posterior ou un poder no que se anote posteriormente que se revogou e se asocie a unha inscrición rexistral.

Para Inza, cando só queremos dar certeza de que un documento se asinou entre as partes un PDF é un documento válido. Por iso estamos a ver que o paso do mundo do papel ao electrónico e viceversa, por exemplo no ámbito da compulsa, se está a empezar a realizar través do PDFs asinados. Pero ad mite que no ámbito privado aínda falta un mecanismo que permita aos particulares exercer o dereitoá proba cando se trata da súa intervención en documentos electrónicos, que si poden xestionar os organismos e institucións que poñen en marcha os sistemas de relación telemática. Neste sentido, Inza destaca a interesante proposta posta en marcha poloGoberno Vasco, denominada Metaposta.Segundo a súa opinión, esta iniciativa pode evolucionar nun futuro cara a un sistema de correos electrónicos con mecanismos de custodia ou pode converterse nun dispositivo para centralizar asevidencias dos asinantes, «un modelo moi valioso». A dificultade, para Julián Inza, é que os cidadáns «aínda non interiorizaron o que supón unha sinatura electrónicano ámbito público e/ou privado».

Neste punto, Julián Inza recorda que o modelo electrónico de xestión de documentos require dous instrumentos: a sinatura electrónica e a custodia dixital. Segundo explica, a custodia dixital é esixente e complexa, xa que require a certeza a protección da información a longo prazo, e a súa dispoñibilidade ante instancias xurisdicionais, o que esixe a implantación de maiores mecanismos de seguridade; e implica a responsabilidade de organismo relacionado coa autenticidade do documento, deaí o concepto de sede electrónica. Os documentos precisan un control rigoroso de metadatos que reflicten a traza de anotacións ou vinculacións a identidades ou a outros documentos para garantir aobliterabilidade, a endosabilidade e a completitude. «A custodia dixital é máis complexa de xestionarque a sinatura electrónica que, aínda que tamén ten a súa complexidade, é unha materia na que todostemos máis experiencia», apostila.

No referente á introdución do certificado dixital no día a día dos cidadáns, o presidente de Albalia Interactiva considera que son «as xeracións novas as que realmente fomentarán o uso do certificado dixital de xeito habitual». A pesar desta optimista perspectiva de futuro, Inza tamén é consciente deque aínda «queda un tempo para madurar» e recoñece que hoxe en día só as persoas que teñen a obriga ou necesidade de utilizar o documento dixital no seu día a día o fan.

Documento notarial electrónico

No referente ao documento notarial electrónico, o presidente de Albalia Interactiva explica que esta tecnoloxía está considerada tanto no actual regulamento notarial, cuxa modificación foi moi recente,en 2007, como na Lei de Acompañamento dos presupostos doano 2002, Lei 24/2001. Así, explicaque este documento está pensado para determinadas comunicacións que se realizan entre notarios e rexistros, «que é onde teñen a súa maior virtualidade». Nesta liña tamén se enmarca o concepto de protocolo electrónico, que ofrece os parámetros básicos de como se debe facer unha custodia dundocumento dixital, «porque os conceptos de costura e de índice do protocolo son os mesmos que,aplicándoo ao mundo electrónico permiten a boa «levanza» da custodia dixital». Ademais, neste proceso, tal como recorda Julián Inza, os notarios,xuíces e secretarios xudiciais son figuras clave á hora de entender que é un documento electrónico, xa que son os profesionais do ámbito xurídico que máis claramente entenden o significado deste documento e os seus elementos básicos.

Para efectos prácticos actualmente aínda non se pode solicitar nunha notaría unha copia autorizada asinada electronicamente, salvo para o seu traslado a outro notario, a un rexistrador ou unha Administración pública, aínda que si unha copia simple, se o notario aprecia interese lexítimo, e esta posibilidade existe dende finais do ano 2001. É unha cuestión que, para Julián Inza, necesita aínda un tempo para a súa implantación, aínda que destaca o feito de que a día de hoxe»todos os notarios de España dispoñen da sinatura electrónica recoñecida».

Lexislación europea

O presidente de Albalia Interactiva é tallante en materia de lexislación e afirma rotundo que existe un déficit «moi grande» na Unión Europea procedente da mala aplicación do artigo 11 da Directiva 1999/93/CE do Parlamento Europeo e do Consello, pola que se establece un marco comunitario para a sinatura electrónica. Neste artigo esíxeselles aos países membros a comunicación á Comisión Europea do estado de supervisión dos prestadores de certificación dixital do seu ámbito. Malia esta obriga, Julián Inza lamenta que non se especificase de xeito claro a estrutura da información a subministrar, o que provocou que cada país o defina de xeito unilateral e envíe posteriormente a documentación á Comisión Europea. De feito, apunta que dúas cuestións clave na información a subministrar serían o certificado root da autoridade de certificación e o lugar onde consultar a validez dos certificados, o servizo OCSP (Online Certificate Status Protocol). Ademais, critica que, once anos despois de emitir esta directiva, se publicasen os protocolos TSL (Trust-service Status List), que deberían ter servido para facilitar o cumprimento da normativa e a elaboración dun listado común de prestadores de servizo, pero que, moi ao contrario, aínda manteñen carencias básicas, xa que, por exemplo, non inclúen información sobre os servizos de validación de cada un.

A falta de concreción da normativa europea provocou que actualmente non exista un listado común de todos os prestadores de servizos de certificación dixital de Europa, senón un simple listado de países e, dentro de cada un e nos seus respectivos idiomas, as indicacións de como encontrar cada undos prestadores nas súas propias páxinas web. Para Inzasería necesario dispoñer dun listado normalizado para que as ferramentas, por exemplo os navegadores, teñan o camiño máis doado para buscar a informaciónde prestadores de confianza e da validez de cada un dos seus certificados emitidos eredunde nunha mellor experiencia do usuario.

Nesta liña, o máximo representante de Albalia Interactiva apunta a unha alternativa a esta iniciativa da Unión Europea, e que consistiría nunha plataforma para acceder á lista de certificados revogadosdun xeito sinxelo. Nesta cuestión «España é pioneira e está a dar un exemplo a seguir», ao que axuda o feito de que sexa o país con máis prestadores de servizos de certificación daUnión Europea e,despois de Estados Unidos, o que máis prestadores de servizos de certificación ten rexistrados nosnavegadores.

Marco lexislativo español

«O ámbito de lexislación español está moito máis desenvolvido que o da maior parte doutros países do noso ámbito, é un dos mellores de Europa» «nestes momentos», expresa o presidente de Albalia Interactiva, ao tempo que concreta que este marco lexislativo está moi por diante do dos países anglosaxóns, e non tanto dos países de orixe latina, onde a necesidade da sinatura electrónica está máis clara e asumida. Aínda así, matiza que, a pesar de que hai un «bo nivel» en canto á cantidade de normativa referente a certificación dixital, se debería mellorar no referente á calidade. «Faría faltadesenvolver máis os conceptos do documento electrónico, incidindo na sistemática do documento»,apunta Julián Inza. Ademais, lamenta a descompensación lexislativa que existe para o sector público, con maior normativa, e para o sector privado, con menor detalle nas leis que impoñen o uso da sinatura electrónica.

Comunidades autónomas e certificación

Consultado sobre a decisión de determinadas comunidades autónomas de converterse en entidades de certificación ou prestadoras de servizos de certificación dixital, o presidente de Albalia Interactivadestaca con rotundidadea actitude que Andalucía tomou ao respecto. A pesar de non contar cunha autoridade de certificación dixital, ao seu xuízo, Andalucía entendeu ben a problemática da xestióndocumental electrónica, máis alá da relevancia que pode ter entre os seus organismos un prestadorde certificación propia ou non.

Por outra parte, para Julián Inza o peso que a identidade propia ten no ámbito das competencias é o que levou a comunidades como o País Vasco, a Comunidade Valencia ou Cataluña a desenvolver autoridades autónomas de certificación dixital. Neste aspecto Inza considera que en España existeniniciativas e experiencias «moi interesantes», así como profesionais altamente cualificados á frontedestas entidades autónomas. Non obstante, considera que o máis importante non é a capacidade paraprestar servizos de certificación, senón a capacidade de xestionar documentos electrónicos cos servizos de certificación que xa existen, » e aí o labor máis notable foi a que desenvolveu a AdministraciónPública andaluza».

Retos de futuro

O presidente de Albalia Interactiva ve como «case imprescindible» o feito de que no futuro todas as Administracións Públicas dispoñan de mecanismos de xestión de documentos electrónicos e de axuda no despregamento da administración electrónica. No referente á convivencia das entidades públicas e privadas de certificación dixital, Julián Inza consideraque o modelo de negocio da Fábrica de Moneda y Timbre (FNMT) debería cambiar e permitir o acceso sen custo á información decertificados revogados, o que implicaría tamén un cambio no seu mecanismo de financiamento. Por exemplo, cre que un cambio estratéxico sería incluír a CERES transitoriamente como parte da infraestrutura do Ministerio de Política Territorial e Administración Pública, o que lle proporcionaría unvalor engadido moi importante a un ministerio que, segundo destaca Inza, «está a facer un labor moi interesante na súa responsabilidade de dinamizador da modernización administrativa e na aperturado mercado da certificación».

«A longo prazo tería sentido que desaparecesen as iniciativas públicas de expedición de certificados dixitais», apunta tamén Julián Inza, quen considera que as necesidades de xestión de identidades dixitais de carácter público se cubrirán co DNIe, que permitirá xestionar a maior parte das necesidades de identificación a nivel persoal. Neste punto, Inzaexplica que en España existen na actualidadeao redor de 26 prestadores de servizos de certificación privados e públicos, polo que «sería interesante formularse se é necesario financiar con presupostos públicos iniciativas que teñen suficienteresposta por parte do sector privado, que pola súa banda se encontra en condicións de competencia desvirtuada polas iniciativas públicas».

Neste punto, o presidente de Albalia Interactiva considera que o principal reto do futuro dixital é rematar co problema da interoperabilidade das sinaturas electrónicas en Europa, o que se alcanzaría mediante a adopción xeneralizada de formatos baseados en XML; o uso de sinaturas XADES-XL; a inclusión de áncoras de confianza, dos certificados root dos PSC e URL dos servizos de consultas derevogación dos PSC nas TSL s; e a codificación correcta do campo de consulta de certificados revogados por parte dos prestadores de servizos de certificación. E nesta mesma liña, sería tamén necesario abordar o problema da interoperabilidade dos documentos electrónicos, un reto ao seu xuízo «moi difícil» cuxa solución pasaría por crear un repositorio sincronizado de formularios XML onde todos os formatos sexan subidos polo seu creador e modificado polos usuarios que os utilicen , se detectan carencias.

Unido a esta perspectiva de futuro dixital, o responsable de Albalia Interactiva recoñece que actualmente a implantación real da factura electrónica é outro dos grandes retos aos que se enfronta o cam po da certificación dixital e un avance tecnolóxico que supoñería importantes melloras de eficienciapara as empresas.

Albalia ante o futuro

Dende a súa creación, Albalia Interactiva formúlase como reto ir un paso por diante en materia de certificación dixital. Así, no plan estratéxico de futuro a compañía está a traballar a idea de crear unselo de calidade para o ámbito da dixitalización de sinaturas manuscritas, co que distinguir soluciónsque merecen ou non confianza, de tal xeito que se audite o sistema e avalen as solucións de xestióndocumental que asocian sinaturas dixitalizadas que cumpran certos principios, como a imposibilidade de reutilizar as sinaturas capturadas por parte das entidades que as captan, con comprimidos dixitalizadores ou por outros procedementos.

Ademais, entre os labores de Albalia Interactiva, Julián Inza formula a necesidade de estudar de que forma se recollen as evidencias para que a sinatura dixital teña o valor que lle outorga a lei, porque «calquera sinatura dixital non é válida». «O problema é que os usuarios non saben distinguir candohai por detrás sistemas que ofrecen confianza ou non», lamenta.

«A Administración Pública está facendo esforzos para inculcar no cidadán esa forma de exercer os seus dereitos a través da tecnoloxía, e o sector privado poderá subirse á onda e beneficiarse diso», conclúe Inza.

Documentos Electrónicos que Conviven con los de Papel (UPM TASSI 2008 Conferencia 5)

6 respuestas

Jorge Ramió me ha comentado que ya está disponible en Youtube la conferencia que impartí en abril de 2008 sobre los documentos electrónicos, parte de una serie que ya comenté (TASSI: Temas Avanzados en Seguridad y Sociedad de la Información). Está disponible la presentación utilizada: Documentos electrónicos que conviven con los de papel

Hay que considerar que en aquellos momentos la Ley 11/2007 estaba recién publicada. Puede considerarse que algunas de mis ideas han tenido algo de influencia en desarrollos conceptuales posteriores, e, incluso, quiero creer, en algunos desarrollos normativos. Lo cierto es que algunas de las ideas de esta conferencia las había empezado a «evangelizar» en otros contextos, entre ellos en los seminarios del INAP que coordinaba Emilio Suñé.

Por cierto, añado algunas referencias sobre temas mencionados en el video:

Artículos interesantes del Código de Comercio de 1885

Artículo 51.

Serán válidos y producirán obligación y acción en Juicio los contratos mercantiles, cualesquiera que sean la forma y el idioma en que se celebren, la clase a que correspondan y la cantidad que tengan por objeto, con tal que conste su existencia por alguno de los medios que el Derecho civil tenga establecidos. Sin embargo, la declaración de testigos no será por sí sola bastante para probar la existencia de un contrato cuya cuantía exceda de 1.500 pesetas, a no concurrir con alguna otra prueba.

La correspondencia telegráfica sólo producirá obligación entre los contratantes que hayan admitido este medio previamente y en contrato escrito, y siempre que los telegramas reúnan las condiciones o signos convencionales que previamente hayan establecido los contratantes, si así lo hubiesen pactado.

Artículo 52.

Se exceptuarán de lo dispuesto en el artículo que precede:

Los contratos que, con arreglo a este Código o a las Leyes especiales, deban reducirse a escritura o requieran formas o solemnidades necesarias para su eficacia.

Los contratos celebrados en país extranjero en que la Ley exija escrituras, formas o solemnidades determinadas para su validez, aunque no las exija la Ley española.

En uno y otro caso, los contratos que no llenen las circunstancias respectivamente requeridas no producirán obligación ni acción en Juicio.

Artículo 54.

Hallándose en lugares distintos el que hizo la oferta y el que la aceptó, hay consentimiento desde que el oferente conoce la aceptación o desde que, habiéndosela remitido el aceptante, no pueda ignorarla sin faltar a la buena fe. El contrato, en tal caso, se presume celebrado en el lugar en que se hizo la oferta.

En los contratos celebrados mediante dispositivos automáticos hay consentimiento desde que se manifiesta la aceptación.

Normas Técnicas de Interoperabilidad

Deja un comentario

En el BOE del 30 de julio de 2011 se publican las normas del ENI – Esquema Nacional de Interoperabilidad cuyos borradores llevaban ya algo de tiempo circulando:

Lista de confianza de prestadores de servicios de certificación (TSL)

4 respuestas

Desde hace algún tiempo vengo promoviendo la generalización del uso de las TSL, por ejemplo, en estos artículos:

Una TSL, o lista de servicios de confianza, es una lista definida en las especificaciones técnicas ETSI TS 102 231, Provision of harmonized Trust Service Provider status information, que identifica prestadores de certificación de confianza y permite la definición de esquemas constituidos por diversos TSPs (Trust Service Providers) así como los servicios que ofrecen, permitiendo la inclusión de información histórica con el fin de poder determinar vínculos de confianza en el transcurso del tiempo.

La inclusión en una lista de servicios de confianza significa la admisión del certificado del prestador dentro del ámbito de uso de la lista en cuestión.

La existencia de este modelo de gestión de la confianza simplifica la gestión de las políticas de firma electrónica de las diferentes aplicaciones, en particular en el sentido de que no precisan gestionar las entidades de certificación que, en general, se consideran aceptables para determinados usos, sino centrarse sólo en requisitos particulares, referidos a la firma.

El desarrollo de este recurso técnico tiene su origen en la la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio  que es la  transposición de la Directiva 2006/123/CE, DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 12 de diciembre de 2006 relativa a los servicios en el mercado interior. La ley prevé que las Administraciones Públicas pongan en marcha un sistema de ventanilla única, a través del cual los prestadores de servicios podrán llevar a cabo en un único punto, por vía electrónica y a distancia, todos los procedimientos y trámites necesarios para el acceso a las actividades de servicios y su ejercicio.

En este sentido, y a efectos de facilitar el uso transfronterizo de las ventanillas únicas, se prevé que cada Estado miembro de la UE publique una «Lista de confianza» que contenga una información mínima referente a los prestadores de servicios de certificación que expidan certificados reconocidos al público supervisados en ese Estado. Esta Lista debe cumplir las especificaciones técnicas recogidas en el Anexo de la Decisión de la Comisión 2009/767/CE, de 16 de octubre de 2009, por la que se adoptan medidas que facilitan el uso de procedimientos por vía electrónica a través de las ventanillas únicas, con arreglo a la Directiva 2006/123/CE del Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior, básicamente el uso dela norma ETSI TS 102 231.

Por ello, el Ministerio de Industria, Turismo y Comercio ha elaborado la Lista de confianza de prestadores de servicios de certificación (TSL) correspondiente a los prestadores que expiden certificados reconocidos y que están establecidos y supervisados en España, que se presenta a continuación en sus formas HR (PDF legible, destinado a humanos) y MP (XML, procesable por máquinas).

En el momento de redactar este artículo, la versión de la lista está recién generada (el 28 de julio de 2011) y es válida hasta el 24 de enero de 2012.

Información sobre TSL en el MITyC

Camerfirma, adjudicataria del servicio de certificación de la Comunidad de Madrid

Deja un comentario

Camerfirma ha resultado la  adjudicataria del servicio de certificación licitado por la Comunidad de Madrid.

El pasado mes de marzo de 2011, la Comunidad de Madrid publicó un concurso público para la adquisición de servicios de certificación electrónica. Dicho concurso abarca soluciones y servicios de firma electrónica para adaptar convenientemente a la Comunidad de Madrid a la Ley 11/2007.

Cinco han sido las entidades de certificación que se presentaron, siendo Camerfirma la ganadora y elegida por el órgano de contratación.

El pliego «Servicios de Certificación Electrónica» numero de expediente EXP:ECON/000889/2010, contempla la emisión de certificados de empleado publico no solo de la propia Comunidad de Madrid, sino también a Ayuntamientos de menos de 50.000 habitantes, así como certificados de sello electrónico para actuación automatizada, certificados de sede electrónica, servicio de sellado de tiempo, y certificados para ciudadano, entre otros.

AC Camerfirma según requerimiento del pliego proveerá los servicios de registro de usuarios, emisión, renovación, revocación, suspensión y archivo de certificados reconocidos de clave pública, publicación de certificados y del registro de certificados, y registro de eventos significativos.

En el proyecto se van a crear 85 Autoridades de Registro delegadas de Camerfirma, que harán uso de la plataforma de gestión de certificados PKI que cubre la gestión del ciclo de vida de los certificados así como todos los aspectos adicionales relacionados con la distribución, tales como la gestión de incidencias, generación de evidencias, monitorización, gestión de usuarios, roles, etc

Camerfirma viene ofreciendo a distintas Administraciones, Instituciones y Organismos Públicos, soluciones de certificación digital y sellado de tiempo que permiten dar solución a los distintos requerimientos definidos por el Real Decreto 1671/2009, de 6 de noviembre que desarrolla la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos, y que implican autenticación, firma electrónica, cifrado y evidencias temporales. Los certificados de Camerfirma cumplen con el perfil del Consejo Superior de Administración electrónica para la Ley 11/2007 y es posible comprobar su validez a través de la plataforma gestionada por el Ministerio de Política Territorial y Administraciones Públicas @firma.

Camerfirma ha emitido certificados de empleado público, sello electrónico para actuación automatizada, sede electrónica, sellado de tiempo, certificado de firma de código, soluciones de publicación certificada, etc. para multitud de Administraciones Públicas tales como Ministerios, Gobiernos regionales, Ayuntamientos, Diputaciones y Cabildos; Organismos públicos tales como Aena, Adif, Boletín Oficial del Estado, Consejo superior de Deportes, Instituto Nacional de Administraciones Públicas, Autoridades Portuarias, Empresas Municipales de Aguas, Guardia Civil Dirección general de la Policía, etc.

Camerfirma viene trabajando con la Comunidad de Madrid desde el año 2006. La Comunidad de Madrid entonces, contrató a Camerfirma la emisión de certificados de atributos para sus empleados. Así mismo, la Comunidad de Madrid adquirió en Diciembre de 2009 el servicio de sellado de tiempo con el cual además de permitir el sellado de tiempo de culquier archivo electrónico, se firma el BOCAM – Boletín Oficial de la Comunidad de Madrid

El derecho al olvido y el derecho al recuerdo

3 respuestas

Recientemente se ha publicado la noticia de que es BOE se verá obligado a impedir el rastreo de los buscadores.

Yo reconozco que en ocasiones me he quejado de que el BOE permita conocer más fácilmente a cualquiera que a mi mismo el hecho de que se publique la presunta comisión de una infracción (por ejemplo de tráfico), por el efecto de notificación de último recurso del BOE, y que esta circunstancia se potencie con la acción de los buscadores.

Sin embargo, estaría encantado que en el BOE figurara, por ejemplo, que he aprobado el exámen de radioaficionado y que si alguien busca mi nombre en un buscador pudiera tener constancia de esta publicación.

Yo tengo mi opinión sobre la forma de resolver estos problemas, y no coincide con el punto de vista de la Agencia Española de Protección de Datos, ni con la Agencia Estatal Boletín Oficial del Estado.

Y en primer lugar, considero que el derecho al olvido se debe garantizar respecto a «las cosas malas» que se puedan decir de mi, pero no respecto a las «cosas buenas», sobre las que debe primar el derecho al recuerdo. Algo que tiene que ver más con el derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, que específicamente con la Intimidad o la Privacidad.

Y especialmente considero que el problema de base, no es que los buscadores hagan honor o no al archivo «robots.txt» sino que, en primer lugar, no se debería usar el BOE (ni, por supuesto, los tablones edictales) para notificar nada, una vez agotadas las vias convencionales de notificación.

Con la tecnología actual es muy sencillo crear bajo el auspicio del Ministerio de Política Territorial y Administraciones Públicas un sistema de notificaciones individuales de último recurso (la dirección electrónica de notificación presunta), susceptible de ser prestada por las administraciones autonómicas a instancia del interesado. El MPTyAP gestionaría, en todo caso el punto de consulta central de los Directorios Coordinados que permiten identificar al prestador del servicio de DENP para un DNI dado.

Los órganos que concluyan sus intentos de notificaciones sin éxito (y que, con la normativa actual, acabarían por notificar por Boletín – BOE, autonómico,…- o Tablón Edictal), emitirían su notificación al sistema DENP.

El ciudadano, podría acceder a conocer las notificaciones que se presumen realizadas y que le involucran, sin más que utilizar el DNI electrónico accediendo al servicio. O, en caso de que no sepa usarlo, mediante la intermediación de un funcionario habilitado para ello en cualquier organismo público de cualquier nivel de la administración que cuente con oficina abierta al público.

En fin, que las malas noticias hay que dejar de darlas a través de sistemas que puedan ser  indexados por los buscadores.

EDITRAN y la Firma Electrónica

2 respuestas

EDItran® es un conjunto de productos para la implantación de soluciones de comunicaciones avanzadas, que posibilitan la conectividad directa entre las aplicaciones informáticas de diferentes empresas, organismos y entidades públicas o privadas, etc.

Se trata de una plataforma de comunicaciones estructurada en diferentes capas funcionales, siguiendo las recomendaciones generalmente aceptadas para el desarrollo de sistemas de comunicaciones abiertos, que se materializa mediante la implantación de diferentes módulos.

Lo comercializa INDRA y permite la interconexión de plataformas heterogéneas, como las basadas en z/OS, las basadas en Unix (en sus diferentes variantes), las basadas en OS/400 y las basadas en Windows, y permite utilizar diferentes protocolos de transporte como X.25, LU6.2 (VTAM)  y TCP/IP.

Permite el intercambio de ficheros AEB (o CSB 19, 34, 43, 57, 58), los de XBRL, los de la AEAT (declaraciones 038, 156, 181, 183, 187, 188, 190, 191, 192, 193, 194, 195, 196, 198, 199, 291, 296, 345, 346, 347, 349, 611, 616) o los de la Tesorería de la Seguridad Social (TGSS), Catastro, IGAE, INEM, IMSERSO.

Uno de los módulos de EDITRAN, denominado Criptolib/DES permite el cifrado simétrico de datos con los algoritmos DES y TDES (Triple DES) y un uso básico del cifrado RSA utilizado en el intercambio de claves.

Para el uso de la firma electrónica, EDITRAN incluye un soporte básico de firmas en formato PKCS#7 (el formato primitivo del que surgió CAdES) en el módulo EDITRAN/FF pero solo implementa la generación y comprobación de firmas en sistemas Unix y Windows,  dando soporte a certificados PKI en estas plataformas. Se puede utilizar desde MVS, OS/390 o  z/OS, siempre que se utilicen sistemas satélites (en Unix o Windows), a través de un interfaz de ficheros EDITRAN/G que permita también acceder a dichos ficheros por NFS. De esta forma el Mainframe deja accesibles los ficheros y las firmas (en modalidad «detached») tanto al entorno EDITRAN por un lado, como al entorno NFS por otro. Así un sistema windows o linux pueden acceder como clientes NFS a los mismos ficheros y generar o comprobar firmas electrónicas PKCS#7.

Albalia da soporte a las firmas XAdES y PDF (en las modalidades extendidas, según se describen en las normas TS 101 733 y TS 102 778) en entornos maiframe a través de la suite zBackTrust, siendo la única solución disponible para entornos como z/OS y otros derivados de OS/390. También da soporte a las firmas CAdES (firmas basadas en CMS: Cryptographic Message Syntax, formato evolucionado del veterano PKCS#7) según la especificación TS 101 733. Las firmas generadas y validadas por las soluciones de Albalia exhiben el mayor nivel de compatibilidad (según las pruebas CAdES/XAdES Plugtest) por lo que interoperan con las de otros fabricantes sobre cualquier plataforma.

Para usos avanzados de firma electrónica en entornos Mainframe, la solución zBackTrust es la única disponibles y está certificadas por IBM. Gracias a ellas es posible utilizar EDITRAN en Mainframe sin renunciar a la compatibilidad, y sin necesidad de definir complejos sistemas de conexión con equipos externos. De esta forma aumenta la eficiencia y es posible usar para firmar los equipos CryptoExpress 2 (4764) y Crypto Express3  (4765) habitualmente entregados en las configuraciones estándar de equipos como z10 o zEnterprise.