Archivo de la categoría: Auditoría

COBIT 5

Deja un comentario

Gestionar las Tecnologías de la Información (TI) consiste en tomar decisiones operativas dentro del gobierno de las TI. La gestión de la TI se refiere a los aspectos operativos para el suministro de productos y servicios de TI en la forma más eficaz.

La gestión de la TI se lleva a cabo mediante la adopción de buenas prácticas, ampliamente usadas, que proceden de diversas fuentes como son:

  • Los estándares como ISO 9000, ISO 20000, ISO 27001, ISO 25999 e ISO 38500, que son un conjunto de criterios que ayudan a desplegar y comprobar operativas de gestión saludables en relación con alguna de las lineas de actividad de las empresas, en particular en el uso o comercialización de soluciones TIC. Estos estándares pueden estar basados en prácticas de la industria existentes, u originados por investigación (académica).
  • Las prácticas de la industria (ITIL®, COBIT®, CMMI®, eSCM-SP, PRINCE2TM, PMBOK®, M_o_R®, eTOM®, Six Sigma…) que son un conjunto de guías usadas en la industria.
  • La experiencia interna, también llamada conocimiento propietario.

COBIT-5-ISACAEl estándar COBIT (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones. El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 estuvo disponible desde mayo de 2007. La última versión del estándar COBIT, versión 5, aparece en el año 2012.

Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

COBIT presenta un enfoque al negocio que radica en vincular las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.

COBIT presenta, asimismo, un enfoque respecto a procesos de acuerdo a las fases del ciclo de Deming, ofreciendo una visión de extremo a extremo de la TI, ayudando a identificar los recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

La nueva versión del COBIT se basa en cinco principios clave:

  • Principio 1: Satisfacer las necesidades de las Partes Interesadas.
  • Principio 2: Cubrir la organización de principio a fin. Integrando el Gobierno corporativo con el Gobierno de las TI. Orientación al negocio.
  • Principio 3: La aplicación de un único marco de trabajo integrado.
  • Principio 4: Habilitación de un enfoque holístico. Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia.
  • Principio 5: La separación la Gestión de Gobierno.

COBIT 5 ayuda a las empresas de todos los tamaños aportando una beneficios tales como:

  • Mantener la información de alta calidad para apoyar las decisiones de negocios.
  • Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a través del uso efectivo e innovador de las TI.
  • Lograr la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología.
  • Mantener los riesgos relacionados con TI a un nivel aceptable.
  • Optimizar los servicios el coste de las TI y la tecnología.
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas.

EADTrust en el evento sobre firma biométrica de VASS y GNEIS

Deja un comentario

En el evento organizado el pasado 27 de noviembre de 2013 por VASS (Valor Añadido en Soluciones y Servicios), y Gneis Global Services, empresa de tecnología y procesos del Grupo Bankinter, para presentar la solución de firma manuscrita desarrollado por Alianet y que distribuyen dichas entidades participó también EADTrust, European Agency of Digital Trust.

Ambas entidades presentaron el proyecto de Firma Biométrica Digital como una solución de contratación que revolucionará la manera en la que las empresas comercializan y operan en Internet.

La tecnología biométrica se basa en la caracterización de las personas a través de rasgos personales y en el caso de la firma se traduce en la captura y cifrado de datos de movimiento y presión al trazar la rúbrica sobre un dispositivo de captación idóneo.

La tecnología propuesta permite realizar procesos de firma de uno o más signatarios en cualquier lugar y momento, sin usar papel, mediante una aplicación disponible de forma online y con el más alto nivel de movilidad.

El evento contó con más de 40 asistentes de clientes de los sectores de Banca, Seguros, Telecomunicaciones y Administración Pública, que pudieron comprobar las funcionalidades de dicha solución.

firma-digitalizada-2

La solución presentada cuenta con la Auditoría de Firma Manuscrita Digitalizada Avanzada, realizada por European Agency of Digital Trust, que otorga su sello de confianza para transmitir a los firmantes que la captura de su información biométrica se realiza en condiciones adecuadas de seguridad.

En la jornada, Julián Inza, representante de European Agency of Digital Trust, repasó los aspectos más reseñables de la legislación de firma electrónica española y europea, así como de las condiciones que hay que exigir a las soluciones de firma digitalizada.

Garantía de Seguridad en cada proceso de Firma

A fin de dar cobertura a los requerimientos más exigentes, desde contratación de productos de alto riesgo potencialmente litigiosos hasta procedimientos con menor exigencia o riesgo de controversia, la solución Firma Biométrica Digital se basa en un proceso de gestión de identidad y presvación de la  integridad que no necesita papeles, que puede desplegarse de forma online y en ámbitos de movilidad que facilitan la contratación en cualquier lugar.

Entre otras ventajas, se pueden enumerar la mejora de la seguridad jurídica y el cumplimiento con normativas como FATCA, MIFID y la lucha antifraude en la contratación, lo que le otorga plena validez legal.

Según Juan Rosas, Director de Innovación en GNEIS, “la tecnología de firma biométrica digital permite que los usuarios realicen firmas manuscritas en formato electrónico sobre tabletas con un nivel de confianza similar al de la firma sobre papel, que desaparecerá de las sucursales. Esto es gracias a que el documento se guarda y certifica teniendo en cuenta no sólo el grafo del firmante sino también otros datos biométricos como la velocidad o la presión con la que se firma, lo que garantiza la seguridad de la operación“.

Auditoría de firma electrónica: firma electrónica certificada

Deja un comentario

Los sistemas de gestión de firmas electrónicas se basan en un enjambre de normas técnicas y jurídicas que hacen difícil saber si se han adoptado adecuadamente.

Las múltiples opciones en la gestión de las firmas electrónicas permiten mucha flexibilidad a la hora de diseñar los sistemas, pero un error de implementación puede arruinar un buen diseño inicial.

Por eso, la posibilidad de auditar y certificar las soluciones de firma electrónica es una garantía para los implementadores de sistemas que gestionan firmas electrónicas y también para los usuarios de esos sistemas.

EADTrust es una entidad que audita sistemas de gestión, workflows, gestores documentales, CRMs y ERPs que emplean firmas electrónicas y da una opinión sobre si se implementan de forma adecuada. El análisis contempla gestión de archivo de los documentos electrónicos firmados y los procesos anejos que en los que se precisa la fuerza probatoria de la firma electrónica.

Los sistemas auditados por EADTrust contemplan los siguientes elementos:

  1. La firma se realiza con certificados reconocidos y dispositivos seguros de creación de firma, o se usa en contextos en los que alguno de estos requisitos no es exigible.
  2. La firma incluye información del momento de firma y de que el certificado utilizado para firmar no estaba revocado en ese momento.
  3. La firma se realiza con certificados emitidos por prestadores que cumplen la normativa aplicable sin más restricciones que las debidas al interés de los ciudadanos que usan las firmas.
  4. La firma permite comprobar los datos principales de los firmantes a partir de los certificados, sin necesidad de usar herramientas especiales
  5. Es posible acceder a una versión del documento que incluye la firma electrónica diseñado para ser apreciado por una persona sin conocimientos especiales, incluso en detalles derivados de la propia interpretación de la firma electrónica
  6. Los documentos son verificables en cualquier momento por un tercero a partir de la información de representacion visible de documento, y a partir de la codificación (código fuente) que incluye sus datos estructurados, de ser aplicable.

Las soluciones auditadas que cumplen todos estos requisitos reciben un informe favorable y pueden exhibir el logo de “firma certificada” creado por EADTrust.

La información sobre los sistemas auditados se incluye en las siguientes páginas web de referencia:

FORO ASESORES «Innovación Constante» Wolters Kluwer

Deja un comentario

El próximo 10 de marzo de 2011 participaré en el FORO ASESORES «Innovación Constante» Wolters Kluwer que tiene lugar en el Palacio de Congresos de Barcelona (Fira de Montjüic), para hablar de Digitalización Certificada.

Este es el Programa de conferencias.

08.45 Acreditaciones y entrega de documentación

09.30 Apertura de la Jornada

Josep Aragonés. Dtor. Gral. Division T&A Wolters Kluwer España.

9.45

SESIÓN PLENARIA I

Liderazgo 2020. Descubriendo al nuevo gran líder

JESÚS VEGA DE LA FALLA

¿Cuáles son los factores que van a determinar el éxito de las pymes y de sus líderes en los próximos 10 años?
¿Cómo debemos anticiparnos a los cambios que están alterando de forma radical los puestos de trabajo y las empresas?
¿Has comprado ya el billete hacia el Nuevo Mundo de la Hiperconectividad?
¿Por qué en el nuevo entorno de trabajo no habrá «entorno»?

10.30

SESIÓN PLENARIA II

La web social: nuevo entorno, nuevas reglas

ENRIQUE DANS

El desarrollo progresivo de la web social como fenómeno vertiginoso de adopción tecnológico ha determinado la aparición de toda una serie de reglas nuevas que afectan a la manera en que nos relacionados, en que nos comunicamos y en que competimos. La aparición de fenómenos como los blogs, las redes sociales o los entornos bidireccionales llevan a cambios que es preciso analizar con una cierta perspectiva para llegar a plantearse su impacto sobre todo tipo de actividades económicas y sobre la sociedad en su conjunto. ¿Qué reglas debemos manejar para ver esos cambios con cierto contexto y entender hasta qué punto afectan a nuestra actividad y a la de nuestros clientes?

11.15 Coffee break

12.00

MESA DE DEBATE I

El papel del asesor frente a la Administración Tributaria

Moderadora:

IOLANDA GUIU Socio DOMÍNGUEZ & GUIU.

Ponentes invitados:

EUDALD VIGO i TARRÉS Jefe del Area de Estrategia y Relaciones Externas de la Agència Tributària de Catalunya

PILAR ARXÉ I FONALLERAS Presidenta de APTTCB

JOSEP MARÍA COMA CONSEJO Directivo del REAF

MIGUEL ÁNGEL BAÑOS LÓPEZ

13.00

MESA DEBATE II

La reforma de las pensiones

Moderador:

JORDI PUIGBÓ. Socio Laboral. Barcelona. CUATRECASAS GONÇALVES PEREIRA

Ponentes invitados:

CARMELO PALOMERO MONTES Director provincial INSS

PEDRO SOLER MACIA Abogado

JOAN GIRONELLA presidente del Grupo TAX Economistas y Abogados

CARME PUJOL Vicesecretaria del Colegio Graduados Sociales Barcelona

14.00 – 15.30 Almuerzo

15.30

SESION PARALELA I

La factura digitalizada. Digitalización certificada y compulsa electrónica. ¿Se puede eliminar el papel al escanear las facturas?

JULIÁN INZA. Presidente de Albalia.

15.30

SESION PARALELA II

Las redes sociales y su aplicación a las asesorías y despachos

La credibilidad de que los servicios nos lo venda otro usuario y no la marca: las ventajas de las redes sociales al servicio de la asesoría

Tipos de Redes Sociales

Cómo puede mi asesoría entrar, comunicar y generar valor de marca en una red social

XAVIER RIBAS ALEJANDRO. Socio. Responsable nacional de Derecho de las Nuevas Tecnologías de la Información.LANDWELL PwC ESPAÑA

16.30

SESION PARALELA III

La gestión del entusiasmo para lograr la satisfacción de los clientes

La sesión desarrolla la importancia de las actitudes personales para lograr la satisfacción y fidelización de los clientes. El valor de un profesional viene determinado por sus conocimientos, sus habilidades y sus actitudes, y lo que diferencia a los grandes profesionales del resto es precisamente esta tercera variable. Durante esta sesión se trabajará las variables que caracterizan a los profesionales que mejor gestionan la relación con sus clientes: el equilibrio personal, la proactividad y el entusiasmo.

VÍCTOR KÜPPERS. Autor de “El efecto actitud”.

16.30

SESIÓN PARALELA IV

La auditoría socio-laboral: oportunidad, prestigio y negocio

JUAN PAÑELLA MARTÍ. Presidente de CEAL (Centro Europeo de Auditores Sociolaborales).

17.30

SESIÓN DE CLAUSURA

Empresas y profesionales que avanzan adaptándose a los cambios contables, financieros y del entorno

ORIOL AMAT

Digitalización Certificada. Últimas novedades

1 respuesta

Anunciamos un nuevo curso de Digitalización Certificada organizado por Atenea Interactiva.

Desde el  10 de Abril de 2007,  fecha de la publicación de  la Orden EHA/962/2007, y más concretamente,  tras la publicación de la resolución del director de la Agencia Tributaria, del 24 de Octubre de 2007 sobre el procedimiento para la homologación de software de Digitalización,  las empresas pueden eliminar las facturas en papel sustituyéndolas por una imagen  digital que sea un reflejo fiel del documento que se quiere eliminar.

Por otro lado, la Ley 11/2007 prevé en sus artículos 30 y 31 la posibilidad de gestionar versiones electrónicas de documentos en  papel, que ha recibido una referencia adicional con la reciente publicación del Real Decreto 4/2010 de 8 de Enero, del Esquema Nacional de Interoperabilidad, que enmarca el desarrollo de la futura normativa que unifique los criterios de digitalización en el sector público.

Es, pues, un momento propicio para conocer los últimos desarrollos en torno a la  Digitalización Certificada, que se cubrirán en este seminario con un planteamiento que se enfocará a los intereses de las Administraciones Públicas, y también al de las empresas que desarrollan soluciones de Digitalización Certificada, o que prestan servicios de digitalización.

De todas formas, todas las entidades que hayan iniciado o piensen acometer proyectos de eliminación de papel se beneficiarán de los conceptos presentados en este evento. Los ahorros y la eficiencia obtenidos son de especial relevancia en un entorno económico como el actual.

El coste de participación en el seminario es de 350€ + IVA (18%), pero es posible descontar el importe del curso de las cuotas de la Seguridad Social,  a través del convenio que Atenea Interactiva ha suscrito con la Fundación Tripartita.

La jornada la impartiremos Fernando PinoJulián Inza con experiencia en más de 20 proyectos en este ámbito a nuestras espaldas.

Esta es la Agenda:

1. Similitudes y diferencias entre la Digitalización Certificada aplicable en el sector privado y en el sector Público

  • Periodos Contables
  • Llevanza de los libros de Gestión de Documentos
  • Certificado utilizado en las Firmas Electrónicas del proceso de Digitalización
  • Prestadores de Servicios de Digitalización Certificada
  • Digitalización Certificada en los registros de entrada
  • Digitalización Certificada en los registros telemáticos
  • Digitalización Certificada por  los órganos de gestión de la administración pública

2. Normativa relacionada con la Facturación Electrónica y la Digitalización Certificada

  • Directiva 2006/112/CE: sistema común del Impuesto sobre el Valor añadido.
  • Directiva 1999/93/CE del Parlamento Europeo y de Consejo: marco comunitario para la Firma Electrónica
  • Directiva 2010/45/UE del Consejo de 13 de Julio de 2010 por la que se modifica la Directiva 2006/112/CE relativa al sistema común del impuesto sobre el valor añadido, en lo que respecta a las normas de facturación
  • Real Decreto 1496/2003 de 28 de Noviembre: Cómo se regulan las obligaciones de facturación.
  • Reseña sobre la normativa foral relativa a la facturación
  • Ley 59/2003 de Firma Electrónica
  • Facturación Electrónica en la Ley 30/2007 de Contratos del Sector Público
  • La facturación Electrónica en la Ley 56/2007 de Medidas de Impulso de la Sociedad de la Información
  • RESOLUCIÓN de 24 de Octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de Digitalización.
  • Digitalización de documentos en la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
  • Digitalización de documentos en el Esquema Nacional de Interoperabilidad.

3. Firma Electrónica. Autenticidad de la Factura Electrónica y de la copia Digitalizada

  • Cumplimiento de los requisitos de integridad y autenticidad de origen
  • Tipos de firmas: simple, avanzada y cualificada. Tipos de Certificados Electrónicos. Personas físicas y Jurídicas
  • Dispositivos seguros de creación de Firma
  • Prestadores de servicios de Certificación disponibles en España. DNI Electrónico
  • Formatos de las Firmas Electrónicas. Estándares TS 101 733 (CAdES) y TS 101 903 (XAdES). Firmas PDF TS 102 778 (PAdES)
  • Servicios de Validación (VA) y de Sellado de Tiempo (TSA). Servicios DSS
  • Herramientas de Firma: BackTrust y EADTrust
  • Control de la integridad de la base de datos. Técnicas de Hash encadenados

4. Orden EHA/962/2007, de 10 de Abril

  • Estudio de la Orden EHA/962/2007, de 10 de Abril: desarrollo de disposiciones sobre Facturación Telemática y conservación electrónica de facturas
  • Obligaciones del expedidor en la conservación de las Facturas y Documentos sustitutivos
  • Obligaciones de los destinatarios de la conservación electrónica de las facturas y documentos sustitutivos
  • Digitalización Certificada de las facturas recibidas y documentos sustitutivos recibidos y de otros documentos o justificantes
  • Impresión de facturas y documentos sustitutivos remitidos en formato electrónico
  • Certificados Electrónicos de las entidades prestadoras de servicios de Certificación y Firma Electrónica

5. Proyectos de Digitalización Certificada y de Facturación Electrónica

  • Arquitectura Tecnológica y  requerimientos funcionales de proyecto de implantación
  • Soluciones tecnológicas empaquetadas y “a medida”: ventajas y limitaciones
  • Gestión de la Firma Electrónica y de la Validación. Excepciones a la Validación
  • Protección de Datos en relación con las Facturas Electrónicas
  • Archivo y conservación de las Facturas Electrónicas. Disponibilidad para auditoría e inspección tributaria
  • Digitalización de Facturas en el Sector Público: la destrucción de facturas en papel y tratamiento deFacturas Digitalizadas como originales de cara a la Intervención General.

6. Proceso de Homologación del Software de Digitalización certificada

  • Procedimientos y controles para garantizar la fidelidad del proceso de Digitalización Certificada
  • Funcionalidades del software de Digitalización Certificada: Gestión de metadatos. Firma en memoria del documento electrónico. Firma de la base de datos para garantizar la integridad de datos e imágenes. Períodos contables
  • Imagen binaria del documento digitalizado o enlace al fichero que la contenga
  • Garantía de acceso a base de datos: consulta en línea, búsqueda selectiva. CD-ROM y On-line
  • Proceso de Digitalización.  Garantías del Sistema: Autenticidad e Integridad
  • Organización documental de los campos exigibles del registro de datos (según Art. 62 y siguientes del RD 1624/1992
  • Proceso de Homologación del software de Digitalización Certificada. Documentación a preparar: Declaración responsable, Memoria técnica, Plan de calidad, Informe de Auditoría.
  • Auditoría del software de Digitalización Certificada
  • Digitalización Certificada por terceros: cómo garantizar que es correcta la Digitalización efectuada por el prestador.
  • Ampliación de requisitos, en previsión de nuevos desarrollos legislativos en torno a la Ley 11/2007
  • Lista de software homologado por la AEAT

Orden por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

1 respuesta

Estando en vigor el Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica (derogado por la Ley 59/2003, de 19 de diciembre, de firma electrónica, se publicó la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

Aunque esta Orden está derogada por la DISPOSICIÓN DEROGATORIA ÚNICA de la Ley 59/2003, es interesante conocerla y especular sobre cual será la norma que ocupe su rol, en desarrollo de la DISPOSICIÓN FINAL SEGUNDA de la Ley 59/2003.

Sobre todo ahora que la normativa sobre firma electrónica comienza a hacerse tan extensa, fragmentada y en ocasiones contradictoria, especialmente tras la publicación de la Ley 11/2007, y su normativa relacionada.

Este es el texto original de la norma, que recordemos, no está vigente.

El Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, que se redactó tomando en consideración la posición común del Consejo de Ministros de Telecomunicaciones de la Unión Europea sobre la Directiva por la que se establece un marco comunitario para la firma electrónica, finalmente aprobada el 13 de diciembre de 1999, prevé el establecimiento de sistemas voluntarios para la acreditación de prestadores de servicios de certificación y para la evaluación de la conformidad de los productos de firma electrónica con los requisitos que exige.

A este respecto, el artículo 6 del Real Decreto-ley 14/1999, de 17 de septiembre, establece que las normas que regulen los sistemas de acreditación y de certificación deberán ser objetivas, razonables y no discriminatorias. Igualmente, señala que las funciones de certificación a que se refiere dicho Real Decreto-ley serán ejercidas por los órganos, en cada caso competentes, referidos en la Ley 11/1998, de 24 de abril, General de Telecomunicaciones; en la Ley 21/1992, de 16 de julio, de Industria, y en la demás legislación vigente sobre la materia. Por su parte, elartículo 22 del Real Decreto-ley 14/1999, de 17 de septiembre, establece que el Real Decreto al que se refiere el artículo 6 de aquel determinará los términos en los que podrá certificarse la conformidad de los dispositivos de verificación de firma electrónica avanzada con los requisitos indicados en dicho artículo 22.

El Real Decreto-ley 16/1999, de 15 de octubre, por el que se adoptan medidas para combatir la inflación y facilitar un mayor grado de competencia en las telecomunicaciones, habilita al Ministro de Fomento para desarrollar, mediante Orden, los artículos 622 del Real Decreto-ley 14/1999, de 17 de septiembre. En ejercicio de la citada habilitación, se aprueba este Reglamento. A través de esta norma, el Ministerio de Fomento cumple el mandato legal contenido en el artículo 68.1.a) de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, de acercar al ciudadano los nuevos servicios de la sociedad de la información, dando a éstos un elemento adicional de seguridad en la firma electrónica.

Con el establecimiento de estos sistemas, se persigue fomentar la adopción de prácticas que garanticen que los servicios y productos relacionados con la firma electrónica se ofrecen al público en unas condiciones satisfactorias de calidad y seguridad técnica. La acreditación y la certificación funcionarán así, como un sello de calidad de los prestadores de servicios y productos de firma electrónica que las obtengan, permitiendo incrementar la confianza de los usuarios en la utilización de esta nueva garantía para las comunicaciones y el comercio electrónico.

En este Reglamento se regula el funcionamiento de los sistemas de acreditación y de certificación que, tal como han sido diseñados por el Real Decreto-ley 14/1999, de 17 de septiembre, giran en torno a tres clases de órganos, entidades u organismos, a saber: Los órganos competentes para la acreditación de prestadores y la emisión de certificados de conformidad de productos de firma electrónica, las entidades encargadas de evaluar y emitir informe o certificado y el organismo independiente al que se encomienda la acreditación de dichas entidades de evaluación, cuya designación se lleva a cabo en este Reglamento. Así mismo, se determina el régimen jurídico de las acreditaciones y certificados de conformidad, los requisitos para su obtención y las condiciones para el reconocimiento de los expedidos en otros Estados.

En la elaboración de esta norma, se han tenido en cuenta los modelos de certificación ya existentes para la evaluación de la conformidad de productos afines y los esquemas que esten siendo desarrollados en el ámbito europeo para la evaluación de la seguridad de las tecnologías de la información y las comunicaciones.

Esta disposición ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas y de reglamentos relativos a los servicios de la sociedad de la información, previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio, modificada por la Directiva 98/48/CE, de 20 de julio, y en el Real Decreto 1337/1999, de 31 de julio, que incorpora estas Directivas al ordenamiento jurídico español.

Por otra parte, en la disposición adicional única se introducen algunas modificaciones de la Orden de 14 de octubre de 1999, por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones. En primer lugar, se de una mayor coherencia al contenido del artículo 2, evitando que la aplicación de la Orden a los operadores afectados por la transformación de sus títulos se produzca en fecha posterior a la prevista para los que hayan accedido directamente, a partir de 1 de diciembre de 1998, a la licencia individual. Además, se añade una nueva disposición adicional a la Orden de calidad, por la que se faculta al Secretario general de Comunicaciones para modificar el anexo 1 de dicha Orden. Con objeto de posibilitar una rápida adopción de las definiciones y métodos de medida que apruebe el Instituto Europeo de Normalización de Telecomunicaciones (ETSI) en sustitución de los actualmente vigentes. Finalmente, se incluyen dos modificaciones del artículo 9 para adaptar el cuerpo de la Orden a la norma del ETSI sobre definiciones y métodos de medida y se corrigen dos errores del anexo II.

En su virtud, de acuerdo con el Consejo de Estado, dispongo:

Artículo Único. Aprobación del Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

En desarrollo de los artículos 622 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, que figura como anexo a esta Orden.

DISPOSICIÓN ADICIONAL ÚNICA. Modificación de la Orden de 14 de octubre de 1999 por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones.

Uno. Se rectifican incorrecciones y se salvan errores en la Orden de 14 de octubre de 1999, por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones, en los siguientes términos:

  • En el inciso final del artículo 2, apartado 1, letra b), donde dice: … desde el otorgamiento de la licencia., debe decir: … desde el inicio de la prestación del servicio.
  • En el inciso final del artículo 2, apartado 1, letra c), donde dice: … desde su otorgamiento., debe decir: … desde el inicio de la prestación del servicio.
  • En el artículo 9, apartado 1, letra g), donde dice: Inferior a tres segundos para el 95 % de las llamadas, debe decir: Inferior a cinco segundos para el 95 % de las llamadas o un valor medio inferior a tres segundos.
  • Se suprime el subapartado f.3) del apartado 1 del artículo 9 y el subapartado f.2) queda redactado de la siguiente manera: f.2) Internacionales: Inferior al 2,5 %.
  • En el anexo II, apartado 1, subapartado Medida, primer párrafo, donde dice: La medida se expresará en días naturales, debe decir: La medida se expresará en días laborables.
  • En el anexo II, apartado 3, subapartado Medida, primer párrafo, donde dice: … se medirá en horas de reloj, debe decir: … se medirá en horas laborables.

Dos. Se añade una nueva disposición adicional, con la siguiente redacción:

Disposición adicional sexta. Autorización al Secretario general de Comunicaciones para modificar el anexo I.

Se faculta al Secretario general de Comunicaciones para modificar el contenido del anexo I de esta Orden, al objeto de armonizarlo con las definiciones y métodos de medida de los parámetros requeridos por la Directiva 98/10/CE del Parlamento Europeo y del Consejo sobre la aplicación de la oferta de red abierta a la telefonía vocal y sobre el servicio universal de telecomunicaciones en un ámbito competitivo, que se adopten por las Instituciones europeas en sustitución de los contenidos en el documento ETSI ETR 138, que figura actualmente referido en el anexo III de dicha Directiva, y a establecer los plazos necesarios para su aplicación.

DISPOSICIÓN FINAL ÚNICA. Entrada en vigor.

La presente Orden entrará en vigor transcurrido el plazo de un mes desde su publicación en el Boletín Oficial del Estado.

Madrid, 21 de febrero de 2000.

Arias-Salgado Montalvo,
Ilmo. Sr. Secretario general de Comunicaciones.

ANEXO.
REGLAMENTO DE ACREDITACIÓN DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Y DE CERTIFICACIÓN DE DETERMINADOS PRODUCTOS DE FIRMA ELECTRÓNICA.

CAPÍTULO I.
SISTEMA DE ACREDITACIÓN Y DE CERTIFICACIÓN.

Artículo 1. Fin, objeto y ámbito de aplicación.

1. El fin de este Reglamento es lograr un adecuado grado de seguridad, calidad y confianza en la prestación de servicios de certificación y proteger debidamente los derechos de los usuarios, estableciendo los sistemas de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

2. Es objeto de este Reglamento la regulación del sistema de acreditación de prestadores de servicios de certificación y de certificación de los productos de firma electrónica respecto de los que es competente la Secretaría General de Comunicaciones del Ministerio de Fomento.

3. El sometimiento a los sistemas de acreditación y de certificación regulados en este Reglamento será voluntario.

Artículo 2. Órgano de acreditación y certificación.

1. La Secretaría General de Comunicaciones del Ministerio de Fomento es el órgano competente para, salvaguardando la seguridad en las comunicaciones, acreditar a los prestadores de servicios de certificación y certificar los productos de firma electrónica a los que se refiere el apartado siguiente.

2. La competencia de la Secretaría General de Comunicaciones para certificar productos de firma electrónica se ejercerá sobre aquellos que cumplan las siguientes condiciones:

  • Que estén destinados a conectarse directa o indirectamente a los puntos de terminación de una red pública de telecomunicaciones, con el objeto de enviar, procesar o recibir señales.
  • Que estén destinados a garantizar la seguridad de cualquier tipo de información que se transmita por vía electrónica por redes de telecomunicaciones.

3. Se entiende que estas circunstancias concurren, especialmente, en los dispositivos de creación de firma y en los de verificación de firma electrónica avanzada.

4. Respecto de los productos de firma electrónica en los que no se den las condiciones previstas en el apartado 2, su certificación se llevará a cabo con arreglo a la Ley 21/1992, de 16 de julio, de Industria.

Artículo 3. Evaluación previa de prestadores de servicios y productos de firma electrónica.

1. El otorgamiento de la correspondiente acreditación o del certificado de conformidad por la Secretaría General de Comunicaciones, exigirá la previa evaluación del prestador de servicios o la del producto de firma electrónica para los que se solicite, realizada por una entidad facultada para actuar conforme al artículo 6.5 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica y a este Reglamento. Al término de la evaluación efectuada, dicha entidad emitirá un certificado de cumplimiento de los requisitos exigibles o un informe de evaluación, según lo que dispongan las normas aplicables en cada caso. En esta norma, salvo que otra cosa se exprese, las expresiones informeinforme de evaluación se referirán tanto al certificado como al informe propiamente dicho.

2. El informe de evaluación describirá el procedimiento y las normas aplicadas para llevarla a cabo, así como los resultados de las pruebas efectuadas. Este informe será entregado a la persona o entidad que haya solicitado la evaluación.

Artículo 4. Contenido de las resoluciones de acreditación o de certificación.

Las resoluciones por las que se acredite a los prestadores del servicio de firma electrónica o se certifiquen los productos, confirmarán que la evaluación se ha realizado correctamente de acuerdo con las normas establecidas en este Reglamento y que la conclusión alcanzada es coherente con los resultados de la evaluación practicada. Cuando este Reglamento establezca otros requisitos para la acreditación de un prestador de servicios o la certificación de un producto de firma electrónica, la resolución también confirmará su cumplimiento.

CAPÍTULO II.
ENTIDADES DE EVALUACIÓN.

Artículo 5. Independencia de las entidades de evaluación.

Las entidades de evaluación de prestadores de servicios de certificación y de productos de firma electrónica no podrán tener relación de dependencia alguna con los prestadores de servicios ni con los fabricantes o importadores de productos de firma electrónica que soliciten su intervención en el proceso de acreditación o certificación.

Artículo 6. Acreditación de las entidades de evaluación.

1. Podrán actuar como entidades de evaluación de prestadores de servicios de certificación y de productos de firma electrónica, los organismos públicos o privados que hayan sido acreditados por la Entidad Nacional de Acreditación (ENAC) o por cualquier otra entidad de acreditación, en el marco del esquema común de acreditación promovido por la Unión Europea.

2. Con carácter previo al inicio de la actividad de acreditación prevista en el apartado anterior, se firmará el Convenio de colaboración previsto en el artículo 11 de este Reglamento.

Artículo 7. Procedimiento de acreditación de las entidades de evaluación.

1. Para la acreditación de las entidades de evaluación, la ENAC tomará en consideración los siguientes aspectos:

  1. La forma en que garantizan su independencia respecto a los fabricantes o importadores de productos de firma electrónica y prestadores de servicios sometidos a evaluación.
  2. Su competencia técnica.
  3. Sus locales y equipos.
  4. Los procedimientos de trabajo que emplean.

Los aspectos referidos en las letras b), c) y d) se valorarán en función de la actividad para la que las entidades de evaluación soliciten su acreditación.

2. Los aspectos relacionados en el apartado anterior se valorarán de acuerdo con las normas que, a propuesta de la ENAC, se determinen por la Secretaría General de Comunicaciones, mediante resolución publicada en el Boletín Oficial del Estado, respetando el siguiente orden de prelación:

  1. Normas, especificaciones o recomendaciones aprobadas por organismos europeos, que sean generalmente aplicadas en la industria.
  2. Normas, especificaciones o recomendaciones adoptadas por organismos internacionales, generalmente aplicadas.
  3. Normas nacionales generalmente aplicadas.

3. La acreditación se otorgará para la evaluación de prestadores de servicios o de productos de firma electrónica, o para ambos fines, si la entidad de evaluación estuviera suficientemente capacitada para su realización.

4. La ENAC comunicará a la Secretaría General de Comunicaciones las acreditaciones de entidades de evaluación que otorgue, en los términos que se establezcan en el Convenio de colaboración previsto en el artículo 11.

Artículo 8. Obligaciones de las entidades de evaluación.

Las entidades de evaluación deberán cumplir las obligaciones que les sean exigibles entre las establecidas en el capítulo III del Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial, aprobado por el Real Decreto 2200/1995, de 28 de diciembre, y las que a continuación se establecen:

  • Facilitar información actualizada a cualquier persona que lo solicite, en relación con la función de evaluación (evaluación de prestadores o de productos) para la que hayan obtenido la acreditación.
  • Abonar los gastos originados por la evaluación realizada para su acreditación como entidad de evaluación.
  • No utilizar la acreditación de manera que pueda perjudicar la reputación del organismo evaluador de la misma.
  • Cesar inmediatamente en el uso de la acreditación a partir de la fecha en que ésta sea retirada.
  • Indicar, con la mayor claridad posible y en todos los contratos celebrados con sus clientes, que cualquiera de los exámenes e informes previos que se realicen, no implican, de manera alguna, una aprobación por la Secretaría General de Comunicaciones del prestador o producto evaluado.

Artículo 9. Vigencia de las acreditaciones.

La ENAC fijará el periodo de validez de las acreditaciones, de conformidad con lo establecido en el artículo 17.f) del Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial. Asimismo, tendrá en cuenta la actividad para la que se acredite a una entidad de evaluación y la tecnología utilizada por ésta.

Artículo 10. Extinción de las acreditaciones.

1. La acreditación de la entidad de evaluación se extinguirá por las siguientes causas:

  1. El vencimiento del plazo por el que se otorgó.
  2. La renuncia expresa del interesado.
  3. El cese de actividad por la entidad de evaluación.

2. La extinción de la acreditación será declarada por la entidad de acreditación prevista en el artículo 6.

CAPÍTULO III.
ÓRGANO DE ACREDITACIÓN Y CERTIFICACIÓN Y COORDINACIÓN CON OTROS SISTEMAS DE CERTIFICACIÓN.

Artículo 11. Régimen de colaboración entre la Secretaría General de Comunicaciones y la Entidad Nacional de Acreditación.

Entre la Secretaría General de Comunicaciones y la ENAC, se celebrará un convenio de colaboración para determinar el régimen de información y cooperación mutua en cuanto al otorgamiento de acreditaciones y el control posterior de las entidades de evaluación que pueda realizarse. Igualmente, se establecerá la participación de los representantes de la Secretaría General de Comunicaciones en los órganos gestores de la ENAC.

Artículo 12. Funciones del órgano de acreditación y certificación.

La Secretaría General de Comunicaciones velará por el correcto funcionamiento del sistema de acreditación y certificación. Para ello, y sin perjuicio de lo que se estipule en el Convenio de colaboración con la ENAC, la Secretaría General de Comunicaciones podrá realizar o encargar exámenes sobre prestadores de servicios acreditados o los productos de firma electrónica certificados, con el fin de comprobar que se mantienen todos los requisitos en función de los cuales se otorgó la correspondiente acreditación o certificación.

A tal fin, los prestadores de servicios de certificación, deberán colaborar con los agentes o el personal inspector de la Secretaría General de Comunicaciones, en los términos establecidos en elartículo 17 del Real Decreto-Ley 14/1999, de 17 de septiembre.

Artículo 13. Coordinación con otros sistemas de acreditación y certificación.

El sistema de acreditación y certificación previsto en este Reglamento, podrá ser coordinado con otros establecidos para la evaluación de la seguridad de las tecnologías de la información o de los productos de firma electrónica respecto de los que la Secretaría General de Comunicaciones no actúe como órgano de acreditación o certificación, mediante el intercambio de información, el envío de observadores, la armonización, hasta donde sea posible, de los criterios de evaluación aplicados u otras medidas orientadas al aprovechamiento conjunto de conocimientos y experiencias. El alcance de dichas medidas podrá ser concretado, mediante la celebración de un convenio de colaboración entre los responsables de los distintos sistemas de acreditación y certificación mencionados.

CAPÍTULO IV.
ACREDITACIÓN DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN.

Artículo 14. Concepto de prestador de servicios de certificación.

Los prestadores de servicios de certificación de firma electrónica que lo deseen pueden solicitar su acreditación, especificando el ámbito, general o referido a una o varias actividades concretas, para el que requieran la acreditación. A los efectos de este Reglamento, son prestadores de servicios de certificación:

  • Las personas físicas o jurídicas que expidan certificados al público.
  • Las personas físicas o jurídicas que, además de expedir certificados al público, presten otros servicios relacionados con la firma electrónica, como los de consignación de fecha y hora, los de directorio o los de archivo de documentos electrónicos.

Artículo 15. Acreditación de los prestadores de servicios que expidan certificados al público.

1. Para la acreditación de los prestadores que expidan certificados reconocidos al público, se exigirá el cumplimiento de los requisitos establecidos en los artículos 1112 del Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica. El cumplimiento de la obligación establecida en el artículo 1 2.g) del Real Decreto-ley 14/1999, de 17 de septiembre, será controlado, en todo caso, por la Secretaría General de Comunicaciones.

Los prestadores de servicios de certificación que no expidan certificados reconocidos, podrán ser acreditados sí cumplen las condiciones previstas en el artículo 11 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica.

2. En ambos casos, podrán reconocerse distintos niveles de acreditación, en función de lo que se establezca en las normas a las que se refiere el artículo 17.

Artículo 16. Requisitos para la acreditación de prestadores de servicios relacionados con la firma electrónica, distintos de la emisión de certificados.

1. Los prestadores de servicios que, además de emitir certificados al público, presten algún otro servicio relacionado con la firma electrónica, podrán solicitar que su acreditación comprenda éstos. La acreditación se otorgará si, de acuerdo con el informe emitido por la entidad de evaluación, desarrollan la actividad de que se trate con un grado suficiente de fiabilidad. podrán reconocerse distintos niveles de acreditación, en función de lo que se establezca en las normas a las que se refiere el artículo 17.

2. En la acreditación de las personas que presten un servicio de consignación de fecha y hora, se valorarán especialmente el grado de exactitud de los datos temporales que constaten, la disponibilidad de éstos para las partes y los mecanismos empleados para evitar su alteración.

Artículo 17. Criterios y normas aplicables para la evaluación de prestadores de servicios.

Las entidades de evaluación determinarán el cumplimiento de las condiciones previstas para la acreditación de los prestadores de servicios de certificación conforme a las normas que se indiquen en el Diario Oficial de las Comunidades Europeas. En su defecto, se aplicarán las normas que determine la Secretaría General de Comunicaciones y cuyos números de referencia se publiquen en el Boletín Oficial del Estado. Para su fijación, se respetará el orden de prelación establecido en el artículo 7.2 de este Reglamento.

Artículo 18. Solicitud de la acreditación.

1. El prestador de servicios que esté interesado en obtener una acreditación deberá presentar, en cualquiera de los lugares indicados en el artículo 38.4 de la Ley 30/1992, una solicitud dirigida a la Secretaría General de Comunicaciones, que contenga los elementos indicados en el artículo 70 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

2. A dicha solicitud, deberá adjuntar el informe de evaluación emitido por la entidad de evaluación acreditada que hubiera examinado la actividad para la que pide la acreditación.

Artículo 19. Resolución del órgano de acreditación.

1. La Secretaría General de Comunicaciones otorgará la acreditación solicitada si el procedimiento aplicado para la evaluación es el adecuado para la actividad de que se trate y se cumplen los demás requisitos incluidos en este Reglamento para obtener la acreditación.

2. Si considera que el procedimiento o las normas aplicadas son inadecuados, indicará al prestador de servicios, mediante resolución, qué pruebas han de realizarse o qué normas deben aplicarse para que el procedimiento de evaluación pueda ser aceptado.

3. El plazo máximo de resolución y notificación será de seis meses, contados desde que la solicitud del prestador haya tenido entrada en cualquiera de los registros del Ministerio de Fomento. Si la Secretaría General de Comunicaciones no hubiera notificado la resolución en este plazo, el prestador de servicios podrá entender estimada su solicitud.

4. Las resoluciones de acreditación de prestadores de servicios de certificación serán publicadas en el Boletín Oficial del Estado y notificadas a la Comisión Europea, de acuerdo con lo dispuesto en la normativa comunitaria.

Artículo 20. Contenido y vigencia de la acreditación.

1. La resolución por la que se otorgue la acreditación a un prestador de servicios obligará a éste a mantener, en todo momento, los requisitos con arreglo a los cuales consiguió su acreditación.

2. La acreditación tendrá una vigencia de cuatro años. A su vencimiento, podrá ser renovada por períodos iguales, siempre que se constate, mediante informe favorable de una entidad de evaluación, que el prestador sigue cumpliendo las condiciones exigibles para su acreditación. Será aplicable a este supuesto, lo dispuesto en el artículo 19, en cuanto al plazo máximo de resolución y notificación y al sentido del silencio administrativo.

Artículo 21. Modificación de la acreditación.

1. Los prestadores de servicios podrán solicitar la revisión de su acreditación con el fin de acceder a un nivel distinto, si demuestran, mediante informe favorable de una entidad de evaluación, que reúnen las condiciones necesarias para ello. El plazo para resolver sobre dicha solicitud será de seis meses y el silencio administrativo, si lo hubiere, será positivo.

2. La resolución de acreditación podrá ser modificada, cuando los prestadores dejen de cumplir las condiciones establecidas para cada tipo de acreditación. La resolución de modificación será dictada en expediente contradictorio, en el plazo de seis meses.

3. Las resoluciones por las que la Secretaría General de Comunicaciones renueve, de acuerdo con el artículo anterior, amplie o rebaje la acreditación de un prestador de servicios, se publicarán en el Boletín Oficial del Estado y serán notificadas a la Comisión Europea, de acuerdo con lo dispuesto en la normativa comunitaria.

Artículo 22. Extinción de la acreditación.

1. La acreditación de un prestador de servicios se extinguirá por las siguientes causas:

  1. El vencimiento de su plazo de otorgamiento, sin que se haya solicitado su renovación.
  2. La renuncia expresa del prestador de servicios.
  3. El cese en la actividad de certificación de que se trate, del prestador de servicios.

2. La extinción de la acreditación será declarada por la Secretaría General de Comunicaciones, una vez constatada.

3. La resolución por la que se declare la extinción de la acreditación de un prestador de servicios, será publicada en el Boletín Oficial del Estado, y se notificará a la Comisión Europea, de acuerdo con la normativa comunitaria.

Artículo 23. Reconocimiento mutuo de acreditaciones.

1. Serán reconocidas en España las acreditaciones concedidas a los prestadores de servicios en otros Estados de la Unión Europea para las clases y niveles de acreditación equivalentes a los establecidos en este Reglamento.

2. Con arreglo al mismo criterio, podrán ser reconocidas las acreditaciones otorgadas en un Estado que no sea miembro de la Unión Europea, a un prestador de servicios reconocido en virtud de un acuerdo entre la Comunidad Europea y terceros países u organizaciones internacionales.

CAPÍTULO V.
CERTIFICACIÓN DE DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA Y DISPOSITIVOS DE VERIFICACIÓN DE FIRMA ELECTRÓNICA AVANZADA.

Artículo 24. Requisitos para la certificación de dispositivos de firma electrónica.

1. La Secretaría General de Comunicaciones podrá certificar, como dispositivos seguros de creación de firma, los dispositivos que, a tenor de los informes emitidos por una entidad de evaluación acreditada, cumplan los requisitos establecidos en el artículo 19 del Real Decreto-ley 14/1999, de 17 de septiembre.

2. La Secretaría General de Comunicaciones podrá determinar la conformidad de los dispositivos de verificación de firma electrónica avanzada con los requisitos señalados en el artículo 22.1 del Real Decreto-ley 14/1999, de 17 de septiembre, de acuerdo con lo que dispone el artículo siguiente.

Artículo 25. Normas para la evaluación de dispositivos de firma electrónica.

La evaluación de la conformidad de los dispositivos seguros de creación de firma y de los dispositivos de verificación de firma electrónica avanzada con los requisitos exigibles en cada caso, se realizará aplicando aquellas normas cuyos números de referencia se publiquen en el Diario Oficial de las Comunidades Europeas. En su defecto, se aplicarán las normas que determine la Secretaría General de Comunicaciones y cuyas referencias se publiquen en el Boletín Oficial del Estado. Para su fijación, se respetará el orden de prelación establecido en el artículo 7.2 de este Reglamento.

Artículo 26. Procedimiento aplicable al otorgamiento del certificado de conformidad.

1. Las solicitudes de certificación de dispositivos de creación y de verificación de firma electrónica podrán ser presentadas por sus fabricantes o importadores o por los prestadores de servicios.

2. El procedimiento para la obtención de la certificación será el regulado en los artículos 1819 de este Reglamento, entendiéndose, a estos efectos, que las referencias hechas a los prestadores de servicios lo son a los fabricantes, importadores o comercializadores de dichos dispositivos.

3. Las resoluciones por las que se otorguen los certificados de conformidad serán publicadas en el Boletín Oficial del Estado.

Artículo 27. Vigencia de los certificados de conformidad.

Los certificados de conformidad especificarán el período de vigencia por el que se expiden, el cual, en ningún caso, podrá ser superior a cinco años. A su término, los certificados podrán ser renovados, siempre que se acredite, mediante informe favorable de una entidad de evaluación, que se cumplen las condiciones exigibles para la certificación del dispositivo de que se trate. Será aplicable a este supuesto, lo dispuesto en el artículo 19.3 de este Reglamento.

Artículo 28. Caducidad de los certificados.

1. La Secretaría General de Comunicaciones podrá retirar un certificado de conformidad cuando compruebe que los dispositivos de creación o de verificación de firma electrónica al que afecte ya no cumplen los requisitos que determinaron su otorgamiento.

2. La resolución de caducidad del certificado se dictará, en el plazo de seis meses, en expediente contradictorio y se publicará en el Boletín Oficial del Estado.

Artículo 29. Reconocimiento mutuo de certificados.

1. Se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma electrónica y de verificación de firma electrónica avanzada que hayan sido expedidos por los organismos designados, para ello, por los Estados miembros de la Unión Europea.

2. Igualmente, se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma electrónica y de verificación de firma electrónica avanzada que hayan sido expedidos por los organismos designados por Estados que no sean miembros de la Unión Europea, cuando un acuerdo internacional de reconocimiento mutuo vinculante para España así lo disponga.

Nota: las referencias legales están tomadas de noticias.juridicas.com

Custodia digital: la protección de la integridad

Deja un comentario

La protección de la integridad y de la autenticidad de la información es un elemento que poco a poco ha ido apareciendo como un concepto clave en el ámbito profesional de los directivos españoles. En este contexto aparecen términos como la protección de registros de auditoría (o logs) y la protección de su integridad.

Albalia Interactiva ha firmado un acuerdo como socio estratégico de Kinamik Data Integrity, empresa de software líder en el desarrollo de soluciones específicas para la protección de la integridad de la información en tiempo real. En el modelo de Albalia de Gestión de documentos electrónicos de carácter probatorio, una de las piezas claves es la firma electrónica y otra el sistema de custodia digital con metadatos. Hablaré en próximos artículos de las posibilidades de unir los dos conceptos, de su relación con la Ley 11/2007 y el cumplimiento de los recientemente publicados esquemas de Seguridad e Interoperabilidad, o el cumplimiento de la LOPD. En el artículo de hoy me centraré en las razones por las que es importante mantener registros de auditoría (o logs) correctamente protegidos, y que rol representa Kinamik para su correcta gestión.

Kinamik Data Integrity es una empresa de software especializada en la protección de la integridad de la información.

Han desarrollado una solución de software que recoge, asegura y centraliza en tiempo real los registros de auditoría (o logs) desde diversas fuentes. Al procesarlos les aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. La solución de Kinamik, llamada Secure Audit Vault, aporta una serie de beneficios para las organizaciones, entre los que destacan la reducción de costes en procesos de auditoría (interna o externa), la gestión de pruebas electrónicas y/o procesos de investigación de informática forense. Asimismo, facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la norma utilizada en entornos de pago PCI-DSS o la norma ISO 27001, especialmente en lo que se relaciona con la prevención y detección de la manipulación de los registros electrónicos. Finalmente disuade el fraude, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Su principal diferencial respecto a otras tecnologías que intentan dar protección de la integridad (uso de autoridades de sellado de tiempo (TSA), dispositivos WORM (Write Once, Read Many), herramientas de gestión de eventos (SIM/SEM), hash simple, firma digital, etc) se centra en la capacidad de procesar y asegurar la información en tiempo real, aplicando un sello de inmutabilidad al mayor nivel de detalle. Cuando se desea proteger información en contextos de alto rendimiento, por ejemplo logs, las tecnologías existentes crean una ventana de oportunidad que permitiría que una manipulación de los ficheros no fuera detectada o, aún peor, podría dar una falsa sensación de seguridad. La existencia de esta ventana de oportunidad para la manipulación hace además que los ficheros pierdan valor probatorio, pues las organizaciones se encuentran con la imposibilidad de probar un negativo, es decir, probar que nadie ha hecho nada en los ficheros y que no han sido manipulados desde el momento de su creación.

Este hecho aparentemente trivial de demostrar la existencia en un momento dado y la integridad de un documento electrónico –por ejemplo con una firma digital– se transforma en imposible por los inmanejables costes computacionales que implicarían aplicar una firma por cada fracción de segundo, en forma constante. Este mismo contexto –alto rendimiento, aplicación de numerosas “sellos” por segundo, etc- hace impracticable el uso de los servicios de autoridades de sellado de tiempo (TSA), pues su carácter transaccional implica altísimos costes por el elevado número de transacciones a “sellar” y los altísimos niveles en el uso de recursos (en particular ancho de banda),

ISO 27001 para Albalia Interactiva

1 respuesta

Los últimos dias del año 2009 vieron como lográbamos un hito importante (para nosotros) tras un año de esfuerzo. La certificación UNE-ISO/IEC 27001:2007 expedida por AENOR, con el número SI-0094/2009

El estándar para la seguridad de la información UNE-ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. En España, en el año 2004 se publicó su antecesora, la norma UNE 71502 «Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)» y fue elaborada por el comité técnico AEN/CTN 71. Era la adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502

La norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el ciclo PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Se relaciona con la adopción de buenas prácticas según se describe en la antigua norma ISO/IEC 17799 que ha pasado a ser la actual ISO/IEC 27002.

La implantación de UNE-ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance (el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información). En nuestro caso, nos ha costado casi 12 meses el esfuerzo de adecuación y certificación, considerando que además hemos renovado este año las certificaciones ISO 9001 e ISO 14001. En cuanto al alcance, este ha tenido en cuenta la prestación de servicios de alojamiento de PKI y Prestadores de Servicios de Certificación (PSC), ya que prestamos servicios a otras empresas del grupo y quien sabe si llegaremos a prestar servicios de alojamiento y gestión de Autoridades de Certificación de otras entidades.

El Proyecto de Adecuación y Certificación  ha sido posible gracias al impulso del Plan Avanza, en el marco del Proyecto PYMESecurity, TSI-030200-2008-0030,  coordinado por CONETIC Confederación Española de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica (que agrupa a 14 Asociaciones Territoriales). La empresa que nos ayudó en la adecuación fue S21Sec, y la Entidad de Certificación AENOR.

PymeSecurity es un proyecto de ámbito nacional que pretende establecer un factor de competitividad clave para la consolidación del sector TIC Español de mayor fragmentación, como es el de la MicroPyme y Pyme, cuya distinción por la calidad será determinante para su supervivencia empresarial.


IECISA desarrolla una nueva solución de Digitalización Certificada

1 respuesta

La normativa española de Digitalización Certificada, pionera en Europa, permite destruir facturas y otros documentos tributarios en papel si previamente se han digitalizado mediante un procedimiento seguro con una solución homologada por la AEAT.

Una de las entidades pioneras en desarrollar soluciones de este tipo y en homologarlas ha sido Informática El Corte Inglés (IECISA) con su «Invesdoc«, que fue el primer cliente de Albalia como Auditor de Digitalización Certificada. Fue, de hecho, un reto para ambas compañías, ya que éramos conscientes de que teníamos que estar a la altura de un prestigio que sospechábamos tener en nuestras respectivas áreas de actividad y eso hizo que fuéramos muy rigurosos en el proceso de auditoría.

En una intervención en el reciente IV Congreso de Factura Electrónica y Digitalización Certificada, Javier Gómez Guñi comentó: «espero que los auditores de Albalia hayan sido con el resto de las empresas auditadas tan rigurosos como lo han sido con nosotros». Lo cierto es que sí lo hemos sido, aunque siempre con el espíritu de ayudar a mejorar la solución auditada de forma que los beneficiarios han sido los clientes finales de las soluciones homologadas.

Recientemente IECISA ha completado la homologación de otra solución denominada «Invoca Documentum» convirtiéndose en un especialista en combinar productos del mercado profesional de la gestión documental y adaptarlos para cumplir los requisitos que exhiben las soluciones homologadas. Agradecemos su confianza al seguir contando con nosotros como auditores.

En estos momentos el 100% de las soluciones auditadas por Albalia han superado los criterios de homologación de la AEAT (hay todavía procesos de homologación abiertos cuya valoración no ha finalizado).

La verdad es que se ha producido una buena colaboración entre los especialistas de IECISA y los auditores de Albalia, y no será extraño si se anuncian futuras homologaciones de soluciones de IECISA.

Blanqueo de Capitales

Deja un comentario

Ya hace algún tiempo participé en uno de estas conferencias organizadas por IFAES.

La de este año (2009)  lleva por título: CUÁLES SON LOS MECANISMOS DE PREVENCIÓN Y CONTROL PARA COMBATIR EL BLANQUEO DE CAPITALES.

Se celebra del 25 al 26 de Marzo de 2009 en el Hotel Meliá Madrid Princesa.

Este es el folleto.Y esta es la página de inscripción.

Y este es el programa:

PRIMER DIA
09.00 Recepción de los Asistentes y entrega de la documentación

09.20 Apertura de la Sesión por el Presidente de la Jornada

09.30 Cuáles son los objetivos de la actual legislación sobre el blanqueo de capitales

  • Cuál es el marco normativo actual
  • Qué medidas se pueden establecer contra el blanqueo de capitales: medidas preventivas y medidas represivas
  • Cuáles son las principales vías de colaboración para detectar e investigar operaciones de blanqueo de capitales
  • Cuál es el impacto de la III Directiva Comunitaria sobre Blanqueo de Capitales
  • Qué nuevos delitos quedan tipifi cados en la normativa
  • Sujetos obligados
  • Cuál es la distinción entre los conceptos diligencia debida, reforzada y simplificada
  • Principales características que deben recoger los sistemas de control interno de operaciones sospechosas
  • Nuevas tendencias regulatorias

D. Luis Manuel Rubí Blanc
SOCIO DIRECTOR
RUBÍ BLANC ABOGADOS

10.30 Qué obligaciones establece la ley de cara a luchar contra el blanqueo de capitales

  • Quiénes son los sujetos obligados a colaborar en materia de prevención de blanqueo de capitales
  • Principales obligaciones en la lucha contra el blanqueo de capitales
  • Identificación de clientes
  • Conservación de documentos
  • Comunicación de operaciones sospechosas
  • eporting sistemático
  • Sistemas especializados de control interno
  • En qué consiste el régimen de colaboración de autoridades, funcionarios y otros organismos de supervisión

Dña. Raquel Cabeza Pérez
CONSEJERO TÉCNICO
SUBDIRECCIÓN GENERAL DE INSPECCIÓN Y CONTROL DE MOVIMIENTOS DE CAPITALES
Dirección del Tesoro y Política Financiera
MINISTERIO ECONOMÍA Y HACIENDA

11.30 Pausa café

12.00 Cuáles son los principales mecanismos que difi cultan la acción blanqueadora y facilitan información útil para posteriores investigaciones judiciales

  • Comunicación de operaciones sospechosas
  • Qué tipo de operaciones deben comunicarse
  • Cómo detectar si una operación presenta indicios o sospechas de estar relacionada con el blanqueo de dinero
  • Cómo informar al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales
  • Reporting Sistemático
  • Qué operaciones deben ser siempre comunicadas
  • Periodicidad del Reporting
  • Excepciones a la obligación de comunicación
  • Qué tipos de sanciones se aplican ante los incumplimientos

D. Carlos Sáiz Díaz
SOCIO
GOMEZ ACEBO & POMBO

13.00 Cómo deben actuar las Entidades Financieras para cumplir con las exigencias de lucha contra el blanqueo de capitales

  • Que papel debe asumir la Alta Dirección
  • Cuál es el coste del cumplimiento de la normativa legal
  • Cuáles son los pasos a seguir para detectar y demostrar una operación fraudulenta
  • Cómo implementar mecanismos internos de control para la detección y prevención del blanqueo
  • Qué riesgos afrontan las entidades fi nancieras al ser empleadas como instrumentos para el blanqueo de capitales: riesgos reputacionales, riesgos legales y riesgos operacionales
  • Cómo afronta la Banca estos cambios de adaptación a las nuevas exigencias legales

D. Manuel Domínguez Mayán
DIRECTOR AUDITORÍA SUCURSALES PONTEVEDRA
CAIXANOVA

14.00 Almuerzo

15.30 Qué mecanismos internos de control pueden implantar las Entidades Financieras para prevenir el blanqueo de capitales

  • La elaboración de un manual de procedimientos y mecanismos internos de control
  • Etapas a tener en cuenta a la hora de establecer los mecanismos internos de control: apertura de cuenta, conocimiento del cliente, monitorización, surveillance
  • Creación de equipos de revisión interna
  • Verificación de los procedimientos
  • Puesta en marcha de órganos internos de prevención del blanqueo
  • Responsabilidad compartida
  • La gestión y control de las cuentas de clientes en países de Alto Riesgo
  • uál es la operativa de los Paraísos Fiscales y países de Alto Riesgo
  • Qué tipo de monitorización se puede realizar en las cuentas Offshore

Dña. Pilar López-Aranguren Velarde
EXECUTIVE DIRECTOR
COMPLIANCE
GOLDMAN SACHS GESTIÓN SGIIC SA

16.30 Cómo desarrollar y establecer políticas y procedimientos de identificación de clientes (KYC)

  • Cómo elaborar el perfi l de cliente
  • ué documentación se debe solicitar y cómo se deben validar dichos documentos
  • Personas físicas vs. personas jurídicas
  • Clientes establecidos vs. clientes ocasionales
  • Cómo defi nir estrategias para controlar con más precisión sus movimientos de capitales y las transacciones económicas
  • Qué novedades introduce la Directiva 2006/70/CE en relación a la identifi cación de clientes PEP’s (PPE:“Persona Políticamente Expuesta”)
  • Diferencias entre Directiva 2006/70/CE y la legislación española
  • Por qué la clasificación como PEP’s aumenta el perfi l de riesgo de un cliente
  • Qué tipo de seguimiento de actividad de las cuentas de los PEP’s se debe realizar
  • Cómo mitigar el riesgo reputacional gestionando la identifi cación de los PEP’s mediante la implantación de un sistema efi caz y fi able

D. Pablo Bernad Ramoneda
SOCIO RESPONSABLE DE FORENSIC EN EUROPA, ORIENTE MEDIO Y ÁFRICA (EMA)
KPMG

17.30 La colaboración internacional contra el blanqueo de capitales

  • Principales recomendaciones del Grupo de Acción Financiera Internacional
  • Qué impacto tienen estas recomendaciones en el sector financiero
  • Cuáles son los principales incumplimientos que se detectan
  • Comparativa con otros países
  • Principios de Wolfsberg Antiblanqueo para la prevención del blanqueo de dinero
  • Cómo diseñar, implementar y controlar un programa Anti-Money Laundering (AML) a nivel internacional que cumpla con los requisitos y regulaciones de los distintos países

D. Javier Odriozola Villanueva
RESPONSABLE DE LA LÍNEA DE SERVICIOS DE PREVENCIÓN DE BLANQUEO DE CAPITALES
SOCIO
DELOITTE

18.30 Fin de la Jornada

SEGUNDO DIA

09.00 Recepción de los Asistentes

09.20 Apertura de la Sesión por el Presidente de la Jornada

09.30 Cómo actúan los Cuerpos de Seguridad del Estado en la lucha contra el blanqueo de capitales

  • Cuáles son las principales estrategias de blanqueo de capitales
  • Cuáles son los delitos previos base de la actividad blanqueadora: terrorismo, narcotráfi co, tráfi co de armas, prostitución, etc.
  • Qué instrumentos son utilizados para dar legitimidad o legalidad a estos bienes o activos de origen delictivo
  • Cómo descubrir el perfi l del blanqueador
  • Objetivos policiales de las investigaciones por blanqueo: decomiso, embargo de bienes de procedencia ilícita. Ventajas e inconvenientes.

D. Pedro Merino Castro

COMANDANTE
Unidad Técnica de Policía Judicial
GUARDIA CIVIL

10.30 La importancia del informe de revisión del experto externo sobre el sistema de prevención del blanqueo de capitales

  • Cómo ha de realizar el experto externo la revisión para asegurar al sujeto obligado que su informe cumple con los requisitos exigidos y, en consecuencia, que el sujeto obligado cumple con la obligación de someter su sistema de prevención del blanqueo de capitales a la revisión anual
  • Proceso elaboración del informe de experto externo
  • Principales conclusiones de los informes de experto externo realizados

D. Javier González de las Heras
DIRECTOR DEL ÁREA DE AUDITORÍA INTERNA Y GESTIÓN DEL RIESGO
ERNST & YOUNG

11.30 Pausa café

12.00 Transparencia de formas societarias y paraísos fi scales en la prevención del blanqueo de capitales

  • Uso de formas societarias para fi nes ilícitos
  • Los paraísos fi scales y otros mecanismos de elusión
  • Banca Privada, uso de formas societarias y la problemática específi ca de las personas políticamente expuestas (PPE)
  • l riesgo reputacional
  • Los indicadores de transparencia de una sociedad

Dña. Concepción Cornejo García
SUBDIRECTORA GENERAL ADJUNTA DE PREVENCIÓN DEL BLANQUEO DE CAPITALES
Dirección del Tesoro y Política Financiera
MINISTERIO DE ECONOMÍA Y HACIENDA

13.00 La experiencia práctica del Grupo Santander como sujeto obligado

  • Cómo implicar todas las áreas de negocio y niveles de la organización en el diseño, aplicación y supervisión de un sistema adecuado de prevención de blanqueo
  • ¿Es necesaria la creación de órganos específi cos internos de control y comunicación?
  • Qué normas y procedimientos específi cos deben ser tenidos en cuenta en la elaboración de un sistema de control interno
  • Cómo afrontar estas obligaciones con el estricto cumplimiento del deber de confi dencialidad
  • Cómo formar y capacitar a los empleados de la entidad en el programa antiblanqueo
  • Cuáles son las responsabilidades y requisitos legales que deben conocer y asumir
  • Qué empleados deben ser formados en el programa antiblanqueo de la entidad
  • Sobre qué temas deben recibir información

D. Jesús Gómez Gómez

RESPONSABLE DE FORMACIÓN, PREVENCIÓN Y BLANQUEO DE CAPITALES
GRUPO SANTANDER

14.00 Almuerzo

15.30 Régimen sancionador: el marco represivo del blanqueo de capitales

  • Los principios informadores del derecho sancionador administrativo y penal
  • La problemática de la concurrencia e incidencia del procedimiento ante el SEPBLAC con el proceso penal
  • Infracciones administrativas: muy graves y graves
  • Cuáles son las sanciones que se establecen para cada tipo de infracción
  • Prescripción del delito y de las infracciones
  • Procedimiento sancionador y proceso penal: órganos competentes
  • Problemática procesal y probatoria en el delito de blanqueo de capitales
  • La comisión del delito de blanqueo de capitales por imprudencia

D. Santiago Milans del Bosch
SOCIO
CUATRECASAS

16.30 Herramientas de gestión antiblanqueo en banca electrónica

  • Riesgos y oportunidades del entorno Internet
  • Detección de operaciones fraudulentas y sospechas de blanqueo
  • Actuaciones frente al phishing y al pharming
  • Evolución de la delincuencia a través de Internet
  • Firma electrónica
  • Nuevas disposiciones normativas de 2007: Ley 22/2007, Ley 56/2007

D. Julián Inza Aldaz
PRESIDENTE
ALBALIA INTERACTIVA

17.30 Fin de las Jornadas