Archivo de la categoría: Auditoría

VII Congreso Auditoría & GRC «Digital Trust con los Riesgos Emergentes» el próximo 18 de Abril de 2024

Deja un comentario

ISACA Madrid Chapter tiene el placer de presentar su VII Congreso de Auditoría & GRCen 2024 versará sobre «Digital Trust con los Riesgos Emergentes». Es una oportunidad única de conectar con profesionales de los ámbitos de la Auditoría, Gobierno, Gestión de Riesgos y Cumplimento.

  • Fecha: 18 de Abril 2024
  • Horario: 9:30h /18:30h
  • Lugar: Meeting Place
  • Dirección: Paseo de la Castellana 81, 28046 Madrid

El evento se celebrará en modalidad presencial y también, se emitirá por streaming.

La confianza debe extenderse más allá de la confianza en la tecnología para incluir la confianza en las personas, los procesos y la organización. Veremos cómo la seguridad, la privacidad, el riesgo, la calidad y la gobernanza contribuyen y pueden mantener la confianza digital.

En el contexto tecnológico actual donde impera el uso de las tecnologías emergentes, trataremos además de otros aspectos que cobran especial relevancia como son la ética, la transparencia y la rendición de cuentas.

De esto y mucho más trata el Congreso de Auditoría y GRC 2024 organizado por Isaca Madrid,

¿Te lo vas a perder? No lo dudes, resérvate el día… 

Programa 

9:30BienvenidaVanesa Gil Laredo. Presidenta ISACA Madrid.
9:45Charla Institucional: «El Digital Trust Ecosystem Framework de ISACA: Alzándose sobre hombros de gigantes»Ramsés Gallego. Ambassador for ISACA.
10:45Mesa Redonda: “Modelos de gobierno de la seguridad de la información. Claves para el éxito”Alejandro Delgado. Director of Sales and Business Development IBERIA. GlobalSuite Solutions.
Santiago Valero. Global IT Security Director – Global CISO. Aleph Group, Inc.
Lucero Ramos. CISO Idealista.
Laura Betanzos Herrera. Directora Business Security Solutions. PwC.
Modera: 
Vanesa Gil Laredo. Presidenta ISACA Madrid.
11:45Café
12:15Ponencia: Claves para el Gobierno de la IAJoaquín Castillón Colomina.  Partner de Risk Consulting. E&Y.
12:45Mesa Redonda: Riesgos emergentes asociados al uso de las nuevas tecnologíasJulian Inza. Presidente de EAD Trust.
Jesús Blanco Serrano. CISO y gerente de sistemas de AEDAS Homes.
Victor Villagrá.Director Máster Ciberseguridad UPM
Eduardo Solís. Director de Consultoría y Riesgos Tecnológicos. Innotec Security.
Modera: 
Juan José Nombela. Junta Directiva ISACA Madrid.
13:45Ponencia: Regulación de la IA y ciberseguridadVicente Moret. Of Counsel Deloitte Legal.
14:15Cocktail
15:45Mesa Redonda: “El papel de la regulación en la gestión del riesgo empresarial”  Oscar López. DPO & Information Security Officer. DKV.
Pablo Rodríguez. Global Head of Cybersecurity Governance. NATURGY
Manuel J. Ordóñez Ruiz. Director de Auditoría de Seguridad. Unicaja Banco.
Modera: 
José Manuel Barrios. Director División Seguridad de la Información y Ciberseguridad. Auren.
16:45Mesa Redonda: Auditoría de TI. Los grandes retos de ahora y de siempreJuan Santonja Lillo. Director Auditoría Ciberseguridad. Banco Sabadell. 
José Antonio Martínez Palomo. Director Auditoría TI. El Corte Inglés.
Alfonso Olmedilla. Consultor Senior GRC. Áudea Seguridad de la Información.
Andrés González. Offensive Security Manager. Zerolynx.
Modera: 
Miriam Feito. Junta Directiva ISACA Madrid.
17:45Entrega de Premios ISACA Madrid Chapter 2024
18:15Clausura

Orden en el caos: Evaluación de conformidad en entornos complejos (en el Panel: Estándares, Identidad Digital y Servicios de Pago)

Deja un comentario

En el contexto del III Congreso Internacional «Presente y futuro de la regulación de los criptoactivos en la Unión Europea» organizado por LegalCripto by BAES y la Universidad de Alicante los días 13, 14 y 15 de diciembre de 2023, que ya comenté quisiera llamar la atención sobre el Cuarto Panel que tiene lugar el viernes 15 de diciembre de 2023 a las 10:00.

10:00   Cuarto Panel: Estándares, Identidad Digital y Servicios de Pago

Presenta y modera: Dra. Mª José Vañó Vañó, Profesora Titular de Derecho Mercantil en la Universidad de Valencia e investigadora en LegalCripto

  • PSD3 en el contexto de los criptoactivos con función de pago — Dra. Lucía Alvarado Herrera, Profesora Titular de Derecho Mercantil en la Universidad Pablo de Olavide de Sevilla y colaboradora en LegalCripto.
  • Orden en el caos: Evaluación de conformidad en entornos complejos — Dña. Ainhoa Inza Blasco, Chief Executive Officer del Trust Conformity Assessment Body (tCAB).
  • Marcos de referencia en seguridad como camino a seguir — D. Pablo López, Jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional (CCN).
  • La futura regulación europea sobre identidad digital y su impacto en los medios de pago — Dña. Mª Cristina Timón López, Investigadora doctoral en la Universidad de Murcia, consultora de pagos digitales para la firma holandesa Explicit Selection y colaboradora en iDerTec y LegalCripto.

Control de riesgos en entornos Blockchain

Deja un comentario

En 2020 se acometió desde la Asociación ISACA, de la que formo parte, un estudio de riesgos de entornos RJT (Replicated Journal Technology).

Una de las autoras es Ainhoa Inza, que me explicó en aquella época que el análisis y revisión de incidentes conocidos en entornos Blockchain y conexos era una buena base sobre la que elaborar una lista de comprobación orientada a la auditoría de proyectos en los que se usa esa clase de tecnología.

Se trataría de no volver a caer en errores ya conocidos.

Adjunto un enlace al documento «Identificacion_y_Control_de_Riesgos_en_Procesos_Validados_con_Blockchain» y lo incluyo a continuación.

identificacion_y_control_de_riesgos_en_procesos_validados_con_blockchainDescarga

La identificación temprana de posibles riesgos permite a las organizaciones tomar medidas proactivas para proteger sus activos, datos y transacciones. Además, el control efectivo de los riesgos en procesos validados con Blockchain contribuye a fortalecer la confianza de los usuarios y a garantizar la adopción exitosa de esta innovadora tecnología en diversos ámbitos.

Es fundamental asegurar la protección de datos, prevenir delitos, cumplir con regulaciones como el GDPR (Reglamento General de Protección de Datos).

El documento presenta una serie de recomendaciones y mejores prácticas para la gestión de riesgos en procesos validados con Blockchain.

Algunas de estas recomendaciones son:

  • Asegurarse de que los desarrollos y despliegues de blockchain adoptados implementen eficazmente los controles propuestos.
  • Controlar las identidades a nivel empresarial, utilizando una PKI propia o de una Autoridad de Certificación, nunca embebida o generada por la propia aplicación de blockchain.
  • Verificar la seguridad de las aplicaciones de cartera y auditarlas para detectar problemas.
  • Segregar las tareas a la hora de controlar las claves, protegiéndolas con contraseña y almacenándolas en un sitio diferente al de su explotación.
  • Utilizar hardware certificado (por el CCN o por organismos de evaluación de conformidad especializados) para carteras y contextos de generación de claves.
  • Verificar los mecanismos de implementación de forks y cómo y por quién se pueden implementar.
  • Controlar el código fuente y verificar la seguridad del usado en la programación de Smart contracts.
  • Verificar las especificaciones funcionales usadas para la programación de Smart Contracts.
  • En los despliegues, probar en entorno de pruebas o preproducción con anterioridad para evitar interpretaciones incorrectas de directivas de programación o manejo de números muy grandes (el truncamiento en direcciones de cartera provoca que se puedan perder envíos de valor).

Además, el documento también destaca la importancia de establecer un marco de control de riesgos adecuado, que incluya la identificación temprana de posibles riesgos, la evaluación de su impacto y probabilidad, la implementación de controles efectivos y la monitorización continua de los riesgos identificados.

En resumen, las recomendaciones y mejores prácticas presentadas en este documento se centran en la necesidad de implementar controles efectivos para mitigar los riesgos asociados con la implementación de Blockchain, incluyendo la seguridad de las identidades, la protección de las claves, la verificación del código fuente y la implementación de controles adecuados para los mecanismos de forks.

Ainhoa Inza Blasco

Deja un comentario

Hoy, 27 de abril de 2023 (cuarto jueves del mes de abril), aprovechando que es el día internacional de chicas en las TIC (International Girls in ICT Day) quiero presentaros a una persona que conozco bien y que puede ser un referente para las chicas que se empiezan a plantear su futuro y empiezan a decidir a qué se van a dedicar los próximos años. Mi sugerencia es que se podrían dedicar al mundo de las Tecnología de la Información y las Comunicaciones.

Y el ejemplo es Ainhoa Inza Blasco.

Ainhoa es la Directora General (CEO) de TCAB (Trust Conformity Assessment Body).

TCAB es un Organismo de Evaluación de Conformidad (en inglés «Conformity Assessment Body») especializado en auditorías relativas a Reglamento UE 910/2014 (eIdAS). Uno de los cuatro organismos acreditados en España.

Solo hay 30 organismos de este tipo en toda Europa.

TCAB ofrece servicios de evaluación de conformidad de Prestadores de Servicios Electrónicos de Confianza  que deseen cumplir con el citado Reglamento UE 910/2014 (eIdAS).

La propia TCAB cumple con las normas EN 319 403 e ISO 17065 y evalúa conforme a las normas EN 319 401, EN 319 411 y EN 319 421, por citar solo las normas principales. También lleva a cabo otras auditorías y evaluaciones de seguridad.

Ainhoa Inza, se licenció en la Universidad Rey Juan Carlos con doble titulación, como Ingeniera Química y Licenciada en Administración de Empresas.

Aunque trabajó en empresas del sector químico, su mayor desarrollo profesional se ha producido en empresas del sector tecnológico convirtiéndose en una de las mayores especialistas en los aspectos tecnológicos y legales de los sistemas de confianza, en especial los derivados de la normativa europea:

En el ámbito de los negocios internacionales trabajó en el Programa ICEX, con una fase académica especializada (ICEX-CECO), otra fase focalizada en la Oficina Económica y Comercial de España en Chicago, y otra fase en actividades empresariales internacionales a su vuelta a España.

En el ámbito de la ciberseguridad, ostenta las certificaciones de ISACA:

  • Certified Data Privacy Solutions Engineer (CDPSE)
  • Certified Information Systems Auditor (CISA)

Ha sido una de las autoras del documento de ISACA

Pensando en optimizar las auditorías de entornos Blockchain.

En relación con las actividades de TCAB con AMETIC, la patronal de la industria digital en España, Ainhoa Inza participó en la jornada informativa sobre el nuevo reglamento europeo “Cybersecurity Act”. El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»).

ICALTI

Deja un comentario

De vez en cuando, aparecen retahilas de palabras que van juntas y que permiten formar siglas para designarlas y para recordarlas.

Seguramente el caso paradigmático es el de las sociedades y organismos designados por abreviaturas formadas por las iniciales de sus términos: AENA, INAP, SEDIA, DGTDAJ, IBM, NCR,…

A veces la función de recordatorio es la relevante y ciertas letras se rodean de otras que permiten formar palabas memorables.

Recuerdo de la asignatura de lógica la designación de diferentes silogismos por sus premisas y conclusiones, lo que se remonta a Aristóteles y a la filosofía griega. Barbara, Darii, Ferio, Celarent designan silosigmos AAA, AII, EIO, EAE:

  • A: premisa (o conclusión) universal afirmativa
  • E: premisa (o conclusión) universal negativa
  • I: premisa (o conclusión) particular afirmativa
  • O: premisa (o conclusión) particular negativa

Aunque quizá los términos que designaban los silogismos no resulten tan memorables en nuestros dias.

En relación con la protección de datos de la antigua LOPD, los derechos ARCO designaban los derechos de Acceso, Rectificación, Cancelación y Oposición.

Tras la publicación del RGPD (Reglamento General de Protección de Datos) los términos que permiten recordar la nueva lista de derechos han cambiado:

  • ARCOPOL: Se refiere a Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido (o Supresión, o Cancelación) y Limitación.
  • ARSULIPO: Acceso, Rectificación, SUpresión (Olvido), LImitación del Tratamiento, Portabilidad y Oposición
  • SOPLAR: Supresión, Oposición, Portabilidad, Limitación, Acceso y Rectificación.

Y llegamos a ICALTI.

Son los requisitos de la Contabilidad Certificada incorporados a la LGT (Ley General Tributaria) por la Ley Antifraude (Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego).

Con el objetivo de no permitir la producción y tenencia de programas y sistemas informáticos que permitan la manipulación de los datos contables y de gestión, se establece la obligación de que los sistemas informáticos o electrónicos que soporten los procesos contables o de gestión empresarial se ajusten a ciertos requisitos que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, requisitos cuya especificación técnica puede ser objeto de desarrollo reglamentario, el cual podría contemplar la obligación de someterlo a certificación.

En concordancia con los nuevos requisitos del software de contabilidad, facturación y gestión, se establece un régimen sancionador específico, para las empresas desarrolladoras de software y para los usuarios que lo usen (o que meramente dispongan de el) cuando no cuente con la adecuada certificación.

EADTrust ayuda a las empresas desarrolladoras de software de contabilidad, facturación y gestión a cumplir los requisitos ICALTI y puede realizar una auditoría de buenas prácticas para acreditar su cumplimiento. Contacte, llamando al 91 716 0555.

Nota sobre silogismos.

El modo del silogismo es la forma que toma el silogismo según la cantidad y la cualidad de las premisas y de la conclusión. De las 256 combinaciones posibles de los «modos» de los silogismos solo resultan válidas 19 y en el contexto de la lógica aristotélica se memorizan con los siguientes términos:

AAA, EAE, AII, EIOBARBARA, CELARENT, DARII, FERIO
EAE, AEE, EIO, AOOCESARE, CAMESTRES, FESTINO, BAROCO
AAI, IAI, AII, EAO, OAO, EIODARAPTI, DISAMIS, DATISI, FELAPTON, FERISON, BOCARDO
AAI, AEE, IAI, EAO, EIOBAMALIP, CAMENES, DIMARIS, FRESISON, FESAPO

Auditoría de Contabilidad Certificada

2 respuestas

Recientemente se ha publicado en España la denominada «Ley Antifraude» que entre los muchos aspectos que trata, incluye una sección para imponer nuevos requisitos a los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión, a las empresas que los crean y a los trabajadores autónomos y empresas que los usan, con sanciones desproporcionadas que presumen la culpabilidad de las empresa y autónomos respecto a la realización de actividades de fraude tributario por el mero hecho de desarrollar o usar software «no certificado». Y los requisitos para ese software se limitan a indicar de forma ambigua que deberán aportar «integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad» (ICALTI, por sus siglas).

También se indica que «ya si eso» reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas.

Se crea una gran inseguridad jurídica ya que aunque en el régimen sancionador se indica:

e) no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley;

f) no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados.

Lo que podría dar a entender que la posibilidad de sanciones solo se podría producir tras la publicación de las «especificaciones técnicas», en el conjunto de las descripción de las sanciones no queda tan claro.

Por eso parece recomendable iniciar procesos de auditoría de contabilidad certificada a las plataformas de software de de contabilidad y facturación y a las que se instalan en terminales de punto de venta lo antes posible para demostrar «debida diligencia» en caso de que las autoridades tributarias contacten con nosotros. De esta forma, aunque no haya culminado la modificación del software para cumplir los nuevos requisitos de la norma , ya se puede demostrar que «estamos en ello».

EADTrust es una de las entidades que pueden ayudar a entender los nuevos requisitos, a implementarlos en el software y a auditarlo posteriormente para comprobar que están bien implementados.

La «Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, de transposición de la Directiva (UE) 2016/1164, del Consejo, de 12 de julio de 2016, por la que se establecen normas contra las prácticas de elusión fiscal que inciden directamente en el funcionamiento del mercado interior, de modificación de diversas normas tributarias y en materia de regulación del juego» es la norma indicada.

El artículo decimotercero de esta Ley modifica la Ley General Tributaria en varios aspectos y en lo relativo al software de contabilidad, facturación y gestión  modifica el apartado 2 del artículo 29 para incluir los requisitos indicados. También crea un artículo 201 bis con el régimen sancionador asociado.

En el apartado 2 del artículo 29, de la Ley 58/2003, de 17 de diciembre, General Tributaria, se añade un nuevo párrafo con la letra j) que tiene la siguiente redacción:

“j) La obligación, por parte de los productores, comercializadores y usuarios, de que los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, sin interpolaciones, omisiones o alteraciones de las que no quede la debida anotación en los sistemas mismos. Reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas, así como la obligación de que los mismos estén debidamente certificados y utilicen formatos estándar para su legibilidad.”

Como se ha indicado, ese mismo artículo 13 crea un nuevo artículo 201 bis en la Ley 58/2003, de 17 de diciembre, General Tributaria:

Artículo 201 bis. Infracción tributaria por fabricación, producción, comercialización y tenencia de sistemas informáticos que no cumplan las especificaciones exigidas por la normativa aplicable.

1. Constituye infracción tributaria la fabricación, producción y comercialización de sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión por parte de las personas o entidades que desarrollen actividades económicas, cuando concurra cualquiera de las siguientes circunstancias:

a) permitan llevar contabilidades distintas en los términos del artículo 200.1.d) de esta Ley;

b) permitan no reflejar, total o parcialmente, la anotación de transacciones realizadas;

c) permitan registrar transacciones distintas a las anotaciones realizadas;

d) permitan alterar transacciones ya registradas incumpliendo la normativa aplicable;

e) no cumplan con las especificaciones técnicas que garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, así como su legibilidad por parte de los órganos competentes de la Administración Tributaria, en los términos del artículo 29.2.j) de esta Ley;

f) no se certifiquen, estando obligado a ello por disposición reglamentaria, los sistemas fabricados, producidos o comercializados.

2. Constituye infracción tributaria la tenencia de los sistemas o programas informáticos o electrónicos que no se ajusten a lo establecido en el artículo 29.2.j) de esta Ley, cuando los mismos no estén debidamente certificados teniendo que estarlo por disposición reglamentaria o cuando se hayan alterado o modificado los dispositivos certificados.

La misma persona o entidad que haya sido sancionada conforme al apartado anterior no podrá ser sancionada por lo dispuesto en este apartado.

3. Las infracciones previstas en este artículo serán graves.

4. La infracción señalada en el apartado 1 anterior se sancionará con multa pecuniaria fija de 150.000 euros, por cada ejercicio económico en el que se hayan producido ventas y por cada tipo distinto de sistema o programa informático o electrónico que sea objeto de la infracción. No obstante, las infracciones de la letra f) del apartado 1 de este artículo se sancionarán con multa pecuniaria fija de 1.000 euros por cada sistema o programa comercializado en el que se produzca la falta del certificado.

La infracción señalada en el apartado 2 anterior, se sancionará con multa pecuniaria fija de 50.000 euros por cada ejercicio, cuando se trate de la infracción por la tenencia de sistemas o programas informáticos o electrónicos que no estén debidamente certificados, teniendo que estarlo por disposición reglamentaria, o se hayan alterado o modificado los dispositivos certificados.

Por la Disposición final séptima, estas modificaciones entran en vigor transcurridos tres meses desde la entrada en vigor de la Ley, lo que se produce el 11 de octubre de 2021.

Aunque a finales de septiembre de 2021 no se han publicado formalmente especificaciones técnicas, sí que existen especificaciones semejantes para la digitalización certificada, en particular los requisitos c) y d) del apartado 1 del artículo 7 de la «Orden EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación.«

Las entidades que conocen y se ha adaptado a las especificaciones de TIcket BAI publicadas por las Diputaciones Forales del País Vasco para el denominado «Software Garante» están un paso más cerca de poder cumplir las nuevas especificaciones, aunque tienen aspectos diferentes.

La denominación de «Contabilidad Certificada» se está empezando a usar por semejanza con la «Digitalización Certificada» que ya cuenta con requerimientos más precisos y consolidados, ya que se publicaron en 2007.

En este contexto, EADTRUST lleva a cabo procesos de consultoría y auditoría para asegurar el cumplimiento de los objetivos de la norma en los softwares de contabilidad existentes, contando con su experiencia en auditorías de Digitalización Certificada.

Tras auditar el cumplimiento de las normas en lo que se refiere a la nueva obligación de Ley 11/2021, de 9 de julio respecto a los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión, EADTRUST expide un certificado de cumplimiento.

Digitalización Certificada, ¿qué es y para qué sirve?

Deja un comentario

Software homologado

Digitalización Certificada, Factura Electrónica, Firma Electrónica, Certificado Electrónico. Todos estos conceptos están relacionados.

En el desarrollo de la normativa de facturación electrónica, la ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas ha definido el concepto de Digitalización Certificada. Este blog ha sido pionero al tratar sobre la Digitalización Certificada desde 2006.

El procedimiento de homologación se ha recogido en la resolución de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.

En sentido estricto la digitalización certificada se definió para los procedimientos del ámbito tributario por lo quedaría fuera de la cobertura de la Ley 39/2015, según determina la Disposición adicional primera relativa a la Especialidades por razón de materia. Sin embargo la implantación del concepto y el gran número de aplicaciones disponibles, lo convierten en estándar de facto, tambien para el sector público.

La digitalización certificada es el proceso de conversión de documentos en papel a documentos electrónicos que contienen su reproducción facsimilar y que están firmados electrónicamente. Los sistemas que gestionan la digitalización deben cumplir ciertos criterios de integridad e inalterabilidad en la base de datos con la que se realiza la llevanza de la digitalización y se requiere que sean auditados. Los documentos digitalizados con este tipo de sistemas tienen el carácter de original, por lo que se puede prescindir de los documentos en papel de los que proceden, por lo que es muy relevante el valor legal de estos procesos y de los documentos a los que dan lugar

La digitalización certificada de facturas ha propiciado el nacimiento del concepto que ahora se usa también en relación con las administraciones públicas y la digitalización de la Justicia.

Para la digitalización certificada de facturas se puede recurrir a las diferentes variantes de software homologado por la Agencia Tributaria que la AEAT publica también en su sitio web. Las diputaciones forales también han publicado normativa equivalente y cuentan con procedimintos de homologación semejantes a los de la Agencia Tributaria y con sus propias listas de software homologado.

Firma Electrónica

La firma electrónica se regula en el Reglamento UE 910 / 2014 que se denomina abreviadamente «EIDAS».

La firma electrónica avanzada está vinculada al firmante de manera única; permite la identificación del firmante; se crea utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y está vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.

De forma resumida, la firma avanzada vincula al firmante con lo firmado.

Lo firmado muchas veces de condensa en el valor «Hash» del documento, lo que también es una forma de garantizar la integridad del documento firmado tras la realización de la firma avanzada. Y el firmante se puede asociar de varias formas, con biometría en caso de firmas no basadas en certificados, o con la operación matemática del hash con la clave privada del firmante si se aplica una firma basada en certificado.

La firma basada en certificados usa criptografía de clave pública, también llamada criptografía asimétrica.

En la criptografía asimétrica intervienen 2 claves vinculadas matemáticamente entre sí:

1.    Clave Privada
2.    Clave Pública

Lo que se cifre con la clave privada, sólo puede descifrarse con la clave pública, y viceversa.

Las funciones hash son unidireccionales y generan una ristra corta de caracteres a partir de un documento o de una ristra larga de caracteres.

Un posible simil sería un valor suma: si cada caracter de una ristra lo transformamos en un número (por ejemplo, su valor ASCII) y sumamos los valores de todos los caracteres de la ristra, el valor resultante depende del contenido de la ristra. SI cambia un carácter, la suma cambia. Los algoritmos utilizados en criptográfia son más elaborados para que no se puedan realizar modificaciones a las ristras que den como resultado el mismo valor de hash, lo que permitirá cambiar los contenidos. Por eso, el valor suma, aunque sirve para explicar el hash, no es en sí un buen método de hash.

Dado un documento y su «hash», es posible comprobar si el hash corresponde verdaderamente a ese documento. No obstante, a partir del hash no es posible deducir el documento del que procede. Podría haber infinitos. Cuando dos documentos diferentes producen el mismo valor de hash al realizar su cálculo con un determinado algoritmo, se dice que se ha producido una «colisión».

¿Cómo funciona la firma electrónica?

Al documento que se va a firmar se le aplica la función hash con un algoritmo concreto (por ejemplo, SHA-256) y el resultado obtenido se opera matemáticamente con una función de firma asimétrica (por ejemplo, RSA o ECC) con la clave privada del firmante (normalmente la clave privada reside en una tarjeta chipo o un token criptográfico, y no sale de el, por lo que el hash se envía al chip y es el chip el que realiza la operación criptográfica). La firma se compone del resultado de esa operación en el chip (lo que en ocasiones se llama valor PKCS#1), y el certificado del firmante que contiene sus datos y la clave pública relacionada criptograficamente con la privada.

Si se hace llegar el documento y la firma al destinatario (a veces, el formato de documento utilizado permite embeber la firma en su interior, como es el caso de los ficheros PDF)¡. Este puede realizar el proceso equivalente en sentido contrario para comprobar la firma.

Extrae la clave pública del certificado, con lo que puede aplicar la función criptográfica al valor PKCS#1 del que se extrae el valor Hash. Calcula el valor Hash del documento y lo compara con el valor obtenido de descifrar la firma PKCS#1. Ambos deben ser iguales. Si no son iguales hay un problema en algún lado. Por ejemplo, el documento ha cambiado en la transmisión o se ha manipulado.

Por eso un importante efecto de la firma electrónica es que garantiza la integridad e inalterabilidad de los documentos firmados electrónicamente.

El certificado utilizado para firmar lo expide una «autoridad de certificación» o una «entidad prestadora de servicios de confianza». La expedición de certificados electrónicos es uno de los posibles servicios de confianza» y, por ello, una «autoridad de certificación» es una «entidad prestadora de servicios de confianza.

Estas entidades comprueban la identidad de los solicitantes de certificados y tras ello les expiden un certificado electrónico asociando la clave pública del certificado con una clave privada que debe custodiar de forma secreta el titular del certificado con la máxima seguridad.

El Certificado Electrónico

Los certificados electrónicos de persona física o jurídica son unos documentos electrónicos que contienen información del emisor, el periodo de validez del certificado, la identidad del firmante,…

Lo importante es que este certificado vincula la clave pública con la identidad de una persona concreta y que está firmado por la entidad de certificación, que ha comprobado los documentos de identidad del solicitante y su correspondencia con los rasgos del solicitante. Al expedir el certificado se establece también su vinculación con la clave privada bajo control exclusivo del firmante.

Aunque pueden emitir certificados autoridades de certificación no cualifiadas, en Europa se prefieren las entidades de certificación cualificadas, que emiten certificados cualificados.

En España existe un importante número de entidades emisoras de certificados cualificados, de entre los que cabe citar a Camerfirma, EADTrust, FNMT (CERES), Ivnosys o Vintegris.

En determinadas modalidades de firma (como la AdES – T o las firmas longevas) es conveniente incluir información sobre el momento en que se creó la firma, lo que realiza añadiendo un sello de tiempo. Los sellos de tiempo los expiden las Autoridades de Sellado de Tiempo (TSA – Time Stamp Authority).

El sello de tiempo demuestra que cierta combinación de datos existió antes de un momento dado y que ninguno de estos datos ha sido modificado desde entonces.

Resumiendo, para la digitalización certificada de documentos, se necesita un certificado electrónico con el que realizar la firma electrónica sobre cada uno de los documentos escaneados.

Este requisito y la garantía de integridad de la base de datos en la que se gestiona la llevanza del proceso de digitalización de facturas son los más relevantes para superar la auditoría que permite solicitar la homologación del software a la AEAT.

Digitalización Certificada en el ámbito de la Justicia.

En el marco de la normativa Lexnet se ha definido por el CTEAJE (Comité Tecnico Estatal de la Administración Judicial Electrónica) la GIS de Digitalización Certificada.

Esta norma permite digitalizar cualquier documento para su presentación en procesos judiciales por lo que tiene un valor especial:

  • Sirve en el sector privado para digitalizar cualquier documento, no solo facturas
  • Permite tener documentos digitalizados por si en un momento dado hacen falta para un jucio. Esta solía ser la principal razón para custodiar documentos en papel: por si hacían falta en un juicio.

Los requisitos de digitalización certificada en el ámbito de la justicia son muy parecidos a los exigidos en el ámbito tributario:

  • Firma electrónica de los documentos escaneados
  • Protección de la integridad e inalterabilidad de la base de datos de llevanza de la digitalización

¿Cómo pongo en marcha un proceso de digitalización certificada?

Para llevar a cabo la digitalización certificada de facturases en una empresa es necesario contar con un software homologado por la AEAT o por cualquera de las haciendas forales de Alava, Guipuzcoa, Navarra o Vizcaya.

Para que el software pueda realizar una firma electrónica en cada factura escaneada, hace falta equiparlo con un certificado cualificado. La tendencia actual es equipar el software con certificado cualificado de persona jurídica, en cuyo caso las firmas electrónicas resultantes se denominan «sellos electrónicos cualificados» si se gestionan en un equipo denominado «Dispositivo Cualificado de Creación de Sello» (equipos que también se denomina HSM «Hardware Security Module»).

Cabe la posibilidad de realizar procesos de «digitalización certificada» o «digitalización garantizada» en el contexto de la administración pública, para lo que seaplican varias de las Normas Técnicas de Interoperabilidad. En particular la de copia auténica, la de digitalización, la de política de firma y la de documento electrónico.

El portal ValidaE facilita algunas herramientas para validar firmas y certificados electrónicos. También la herramienta DSS de EADTrust proporciona mucha información sobre los certificados y las firmas de los documentos electrónicos, sean o no resultado de la una digitalización certificada.

Tal vez alguien se hizo esta pregunta: ¿es necesario partir del documento de la factura impreso para poder escanearlo en un proceso de digitalización certificada o se puede firmar electrónicamente una factura recibida en formato pdf?

La respuesta la da la ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas en los diferentes artículos de los que consta.

La digitalización certificada solo se puede hacer desde documentos en soporte papel.

No obstante, considerando que el emisor y el receptor pueden llegar al acuerdo de que el emisor de la factura actua enviando «prefacturas» en formato PDF al receptor y que este las convierte en autofacturas electrónicas añadiendo la firma electrónica, se cumple el requisito fundamental de la factura electrónica, que es su firma electrónica. La normativa permite que las facturas las gestione el destinatario (autofactura) o un tercero en nombre del emisor de la factura, que suele ser el que añade las firmas electrónicas o los sellos electrónicos.

Qué hacer si se pierde o alguien sustrae el dispositivo donde reside el certificado electrónico

En caso de pérdida o robo del dispositivo en el que se aloja la clave privada asociada al certificado electrónico, hay que solicitar la revocación del certificado personándose ante una Autoridad de Registo de la Autoridad de Certificación que expidió el certificado. Algunas autoridades de certificación ofrecen la posibilidad de realizar la revocación a distancia, empleando códigos que se entregaron en el momento de la expedición del certificado.

Por ejemplo, EADTrust dispone de una página específica y un formulario para solicitar la revocación del certificado.

Externalización de procesos de digitalización certificada

Cuando un proceso no está centrado en el núcleo de negocio de una empresa pero puede suponer una carga administrativa importante por su volumen, muchas entidades recurren a la externalización de procesos de negocio (BPO).

Un servicio de Digitalización Certificada realizado por terceros o un servicio de Sello electrónico remoto gestionado por un prestador de servicios de confianza digital cualificado pueden ayudar en estos casos.

El artículo 7 de la Orden EHA/962/2007 indica:

“Este proceso de digitalización deberá cumplir los siguientes requisitos:

a) Que el proceso de digitalización sea realizado por el propio obligado tributario o bien por un tercero prestador de servicios de digitalización, en nombre y por cuenta de aquel, utilizando en ambos casos un software de digitalización certificado (…)
b) Que el proceso de digitalización utilizado garantice la obtención de una imagen fiel e íntegra de cada documento digitalizado y que esta imagen digital sea firmada con firma electrónica en los términos de los artículos anteriores de esta Orden en base a un certificado electrónico instalado en el sistema de digitalización e invocado por el software de digitalización certificada. Este certificado debe corresponder al obligado tributario cuando la digitalización certificada se realice por el mismo o al prestador de servicios de digitalización en otro caso.

Ventajas de la Digitalización Certificada

Estas son algunas de las ventajas de la Digitalización Certificada:

  • Ahorro de tiempos en la búsqueda de documentos, puesto que, al tratarse de documentos en formato electrónico, se pueden generar búsquedas por palabras clave.
  • Aumenta la eficiencia y productividad de los empleados al ganar tiempo en el achivo y en las búsquedas, reduciendo los errores.
  • Frecuentennete la digitalización permite incorpoporar la información de las facturas en el sistema de contabilidad o ERP.
  • Al tener los documentos digitales gestionados por un software informático y custodiados en un repositorio seguro, se agilizan las tomas de decisiones al tener la certeza que se cuenta con toda la información.
  • Se ahorra espacio de almacenamiento al no tener que custodiar los dcumentos en papel y se ahorran otros costes relacionados con el material de archivo
  • Facilita la adopción de procedimientos repetuosos con el medio ambiente e, indirectamente, ayuda a superar una posible auditoría de tipo ISO 14.001

Llámenos

Puede contactar con EADTrust a través de los teléfonos 917160555 y 902 365 612 si necesita ayuda pata homologar una solucuón de digitalización certificada o necesita certificados electrónicos.

Actividades de estandarización de los servicios de confianza en ETSI en 2019

Deja un comentario

El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés «Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report».

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada «Publicly-Trusted Certificates», certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521EN 319 531TS 119 524 Part 2TS 119 534 Part 2TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de PlugtestsTM  de validación de firmas digitales (Digital Signature Validation PlugtestsTM ).

 

 

 

Norma del CCN para firma en la nube

Deja un comentario

CCN-CertificacionLos dispositivos cualificados de creación de firma son necesarios para producir firmas electrónicas y sellos electrónicos cualificados en el contexto del Reglamento 910/2014 (EIDAS).

Dada la lentitud del proceso de publicación en el seno del CEN (Comité Europeo de Normalización) de las normas de evaluación de conformidad de dispositivos cualificados de creación de firma que promovía el Reglamento EIDAS, en su artículo 30, en 2016 el Centro Criptológico Nacional (CCN) impulsó la publicación de una norma propia a lo que le autorizaba el propio artículo 30 en su apartado 3-b.

En efecto, el artículo 30 en su apartado 1 indica:

La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

Y en su apartado 3

La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo

(…)

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En abril de 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Sin embargo, esta norma solo hacía mención al marco de evaluación Common Criteria (ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 y a la norma de perfiles de protección de dispositivos seguros de creación de firma EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma, Partes 1 a 6), que pasaba de puntillas sobre los requisitos de firma en la nube (limitado a la parte  EN 419 211-5).

En base a la Directiva 1999/93/CE se había publicado en julio del año 2003 la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo que permitía contar con dispositivos seguros de creación de firma mientras evolucionaba el marco de normas técnicas de evaluacón de conformidad.

Dado el interés de algunas entidades españolas en certificar dispositivos cualificados de creación de firma (necesarios, por ejemplo, para finalizar el proyecto de DNI en la nube) el Centro Criptológico Nacional publicó en enero de 2017 la norma IT-009 -Remote Qualified Electronic Signature Creation Device Evaluation Methodology.

Esta norma se publicó al amparo del apartado 3-b del artículo 30 de EIDAS:

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

(…)

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

El documento recoge lo esencial de las normas técnicas en estado borrador en ese momento y posicionó a España en la punta de lanza de la evaluación de conformidad. Debe agradecerse al CCN esta labor proactiva que redunda en la competitividad de las empresas españolas del sector de la seguridad.

Por parte de TCAB (Trust Conformity Assessment Body) fué un privilegio el que pudiéramos colaborar en los trabajos preparatorios previos a la publicación de la norma.

Nueva lista de CABs (Conformity Assessment Bodies) en Europa

Deja un comentario

A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.