Archivo de la categoría: Banca 2.0

Productos y servicios basados en DSS

7 respuestas

En el artículo «Firma electrónica con OASIS DSS» ya di algunas indicaciones de la importancia de este protocolo para desplegar servicios de firma electrónica en las grandes organizaciones. Recientemente se ha anunciado que está previsto incluir esta funcionalidad en futuras versiones de @firma, la herramienta más utilizada en las administraciones públicas para gestionar firmas electrónicas.

En el momento actual, solo dos productos dan soporte a este protocolo:

Sin embargo, sí que está disponible como servicio (en lo que en Albalia llamamos Trustworthiness of services in the cloud) a través de algunos prestadores de servicios de certificación:

En cuanto a entidades, Caixa Galicia lo ha implantado en su arquitectura sobre zSeries (Mainframe IBM), gracias a zBackTrust, la variante de BackTrust orientada a zLinux y z/OS, con Websphere.

Trustworthiness of Services in the Cloud

Deja un comentario

This days we are preparing some marketing material for the Hannover CeBIT Trade Show and think about what can define our products and services in as few words as possible.

And I think we have got the right answer in this simple title: Trustworthiness of Services in the Cloud

This creates a bridge between some of the concepts in the american view of technology and those managed in european contexts, in which electronic evidences have special meaning.

I think this approach is specially true in some of our products and services. zBackTrust defines an architectural approach to Trustworthiness in Mainframe environments, managing electronic signatures in several formats and through several standard protocols. And at the same time defining Digital Custody and Metadata to characterize authentic electronic documents, which can be accessed through the electronic web reference (electronic see, electronic seat, electronic head-office).

And filling the bridge, we are now designing some of the connections between OpenID and PKI in our development «roadmap», which will be available soon in the future.

Some of the services go through EADTrust, a certification service provider which operates «in the cloud» to supply services like timestamping or certificates validation as a Trusted Third Party. This is going to be of help in Europe, since there are more than 100 Certification Authorities, and it is not easy to get the information about where to verify issued certificates (being through CRLs or OCSP).

Custodia digital: la protección de la integridad

Deja un comentario

La protección de la integridad y de la autenticidad de la información es un elemento que poco a poco ha ido apareciendo como un concepto clave en el ámbito profesional de los directivos españoles. En este contexto aparecen términos como la protección de registros de auditoría (o logs) y la protección de su integridad.

Albalia Interactiva ha firmado un acuerdo como socio estratégico de Kinamik Data Integrity, empresa de software líder en el desarrollo de soluciones específicas para la protección de la integridad de la información en tiempo real. En el modelo de Albalia de Gestión de documentos electrónicos de carácter probatorio, una de las piezas claves es la firma electrónica y otra el sistema de custodia digital con metadatos. Hablaré en próximos artículos de las posibilidades de unir los dos conceptos, de su relación con la Ley 11/2007 y el cumplimiento de los recientemente publicados esquemas de Seguridad e Interoperabilidad, o el cumplimiento de la LOPD. En el artículo de hoy me centraré en las razones por las que es importante mantener registros de auditoría (o logs) correctamente protegidos, y que rol representa Kinamik para su correcta gestión.

Kinamik Data Integrity es una empresa de software especializada en la protección de la integridad de la información.

Han desarrollado una solución de software que recoge, asegura y centraliza en tiempo real los registros de auditoría (o logs) desde diversas fuentes. Al procesarlos les aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. La solución de Kinamik, llamada Secure Audit Vault, aporta una serie de beneficios para las organizaciones, entre los que destacan la reducción de costes en procesos de auditoría (interna o externa), la gestión de pruebas electrónicas y/o procesos de investigación de informática forense. Asimismo, facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la norma utilizada en entornos de pago PCI-DSS o la norma ISO 27001, especialmente en lo que se relaciona con la prevención y detección de la manipulación de los registros electrónicos. Finalmente disuade el fraude, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Su principal diferencial respecto a otras tecnologías que intentan dar protección de la integridad (uso de autoridades de sellado de tiempo (TSA), dispositivos WORM (Write Once, Read Many), herramientas de gestión de eventos (SIM/SEM), hash simple, firma digital, etc) se centra en la capacidad de procesar y asegurar la información en tiempo real, aplicando un sello de inmutabilidad al mayor nivel de detalle. Cuando se desea proteger información en contextos de alto rendimiento, por ejemplo logs, las tecnologías existentes crean una ventana de oportunidad que permitiría que una manipulación de los ficheros no fuera detectada o, aún peor, podría dar una falsa sensación de seguridad. La existencia de esta ventana de oportunidad para la manipulación hace además que los ficheros pierdan valor probatorio, pues las organizaciones se encuentran con la imposibilidad de probar un negativo, es decir, probar que nadie ha hecho nada en los ficheros y que no han sido manipulados desde el momento de su creación.

Este hecho aparentemente trivial de demostrar la existencia en un momento dado y la integridad de un documento electrónico –por ejemplo con una firma digital– se transforma en imposible por los inmanejables costes computacionales que implicarían aplicar una firma por cada fracción de segundo, en forma constante. Este mismo contexto –alto rendimiento, aplicación de numerosas “sellos” por segundo, etc- hace impracticable el uso de los servicios de autoridades de sellado de tiempo (TSA), pues su carácter transaccional implica altísimos costes por el elevado número de transacciones a “sellar” y los altísimos niveles en el uso de recursos (en particular ancho de banda),

Safetypay ya opera en España

Deja un comentario

El sistema de pago por Internet ya está disponible para usuarios de banca en sitos de comercio electrónico asociados tanto españoles como del resto del mundo

Safetypay, el sistema de pagos seguro y global por Internet, ya ha comenzado a operar en España. Serán los casi 800.000 clientes de la banca on line de Ibercaja y los más de 365.000 de Caja Inmaculada (CAI) los primeros usuarios que podrán utilizar este medio de pago alternativo, tanto en las tiendas virtuales españolas asociadas a Safetypay, como en las del resto del mundo.

Este sistema de pago online ofrece importantes ventajas a clientes, comercios on line, e incluso a los propios bancos. Lo más importante para los usuarios es que para pagar con este método no es necesario dar ningún dato personal, ni tampoco el número de tarjeta en el momento de la adquisición, ya que se realiza a través de los servicios de los bancos asociados; esto evita el riesgo de fraude tanto para el comprador como para el comercio. Además el proceso es muy sencillo y rápido, lo que invita a los internautas a comprar online.

Julio García, Director General en España de Safetypay, destaca entre las ventajas de este sistema“la seguridad» y «la simplicidad de utilización», además de la utilización de la banca on line. Por otro lado, destaca sobre todo los beneficios de ser una red internacional, ya que «potencia la expansión de los comercios on line españoles en mercados extranjeros”. Esto significa que las tiendas españolas podrán realizar ventas a clientes de todo el mundo afiliados al sistema de pago.

Visto en Revista de Internet

Ley 16/2009, de 13 de noviembre, de servicios de pago.

Deja un comentario

La creación del euro en 1999 y su puesta en circulación en 2002 como moneda única, al menos en la zona de los países que adoptaron la nueva divisa, debió originar, al mismo tiempo, la regulación uniforme de los instrumentos de pago que hacen posible la utilización de dicha moneda.

Aunque se aprobaron determinadas normas comunitarias con objetivos armonizadores sobre algunos aspectos de los sistemas de pago, no fue hasta 2005 cuando la Comisión de la Unión Europea presentó la propuesta de Directiva sobre servicios de pago en el mercado interior, la cual fue aprobada como Directiva 2007/64/CE del Parlamento Europeo y del Consejo, de 13 de noviembre de 2007, sobre servicios de pago en el mercado interior, por la que se modifican las Directivas 97/7/CE, 2005/65/CE y 2006/48/CE y por la que se deroga la Directiva 97/5/CE.

La Ley 16/2009, de 13 de noviembre, de servicios de pago incorpora al Ordenamiento jurídico español la citada Directiva.

El objetivo general de la Directiva es garantizar que los pagos realizados en el ámbito de la Unión Europea -en concreto, las transferencias, los adeudos directos y las operaciones de pago directo efectuadas mediante tarjeta– puedan realizarse con la misma facilidad, eficiencia y seguridad que los pagos nacionales internos de los Estados miembros.

Junto a ello contribuye al reforzamiento y protección de los derechos de los usuarios de los servicios de pago y facilita la aplicación operativa de los instrumentos de la zona única de pagos en euros, lo que se ha denominado SEPA (Single Euro Payments Area), que se ha de desarrollar por la industria privada con el impulso del Banco Central Europeo y de los Bancos Centrales nacionales.

La SEPA ha de significar, cuando esté concluida, previsiblemente a finales de 2010, que los servicios de pago, contemplados en la Directiva, se presten en la Unión Europea como en un territorio sin fronteras (es decir, como si se hubierna realizado en un mismo pais) y donde las posibles diferencias de costes no tengan otra causa que la eficiencia de los prestadores de los servicios.

Tanto la Ley como la Directiva pretenden:

  1. Estimular la competencia entre los mercados nacionales y asegurar igualdad de oportunidades para competir. En esta línea, se permite la creación de nuevas entidades de pago que, sin perjuicio de que cumplan importantes exigencias y garantías para su funcionamiento, puedan representar una ampliación de los proveedores de servicios de pago.
  2. Aumentar la transparencia en el mercado, tanto para los prestadores de los servicios como de los usuarios. Para conseguir este objetivo es preciso establecer normas comunes, como mejor sistema para ofrecer seguridad jurídica, tanto en el ámbito nacional como en el transfronterizo, toda vez que son uniformes las condiciones y los requisitos de información aplicables a los servicios de pago.
  3. Establecer un sistema común de derechos y obligaciones para proveedores y para usuarios en relación con la prestación y utilización de los servicios de pago. Sin tal ordenación, sería imposible la integración del mercado único de pagos.

Todo ello contribuirá a una mayor eficiencia, un nivel más elevado de automatización y un procedimiento común sujeto a legislación comunitaria.

Documentos electrónicos en papel y viceversa

11 respuestas

Una forma de securizar documentos digitales es a través de la firma digital. Gracias a ella podemos estar seguros de que un documento se vincula a su firmante y de que su contenido es inalterable.

Es, desde luego, una de las claves de la  e-administración.

Sin embargo, cuando tenemos que imprimir los documentos firmados electrónicamente, necesitamos  proteger los documentos impresos permitiendo validar tanto su autenticidad como su contenido. Esta necesidad no se resuelve fácilmente. Además, cualquier sistema que se diseñe para ello debe garantizar no solo que los documentos impresos sean igual de seguros que sus versiones electrónicas, sino que la comprobación de dicha seguridad debe ser tan sencilla y automática que con la que proporciona la firma electrónica.

La nueva necesidad se intenta cubrir actualmente con varios mecanismos, siendo los principales el watermarking y los códigos de verificación seguros (típricos de las copias constatables), sin lugar a dudas los más utilizados.

Su funcionamiento no es extraño para nadie a día de hoy, y ,simplificando, consiste en la inserción sobre el documento de un código que introducido en una aplicación web nos permite acceder al documento original, y así comprobar si el documento en papel y el original poseen el mismo contenido.

La primera conclusión es obvia: cotejo visual. Y su derivada: pérdida de tiempo y alta probabilidad de pasar por alto pequeñas alteraciones del contenido (no hablemos de personas que por su trabajo necesiten estar continuamente validando documentos).

Algunos dirán: ¡fácil solución!, imprimo el documento digital y tiro la copia impresa que he recibido. Pero desde luego, no va en la linea de eliminar el uso del papel, y no parece que esté alineado con los objetivos de la e-Administración.

¿Y cuál es la solución?, ¿no será posible emplear la firma digital en el papel?. Esto mismo han pensado los promotores de Bit Oceans, que tras varios de años de investigaciones han desarrollado la tecnología FiViDoCFirmado Visible de Documentos”, que empleando la misma estructura de la firma digital aporta al mundo del papel un nivel de fiabilidad cercano a los estándares de certificación.

Fividoc, completa mediante nuevos algoritmos de hasing basados en técnicas avanzadas de procesado de señal el circulo de la seguridad documental.

Además frente al cotejo, que requiere el acceso al documento electrónico, puede establecerse la autenticidad de un documento preservando la confidencialidad de los datos, ya que no es necesario mostrarlos .  FIVIDOC es así una exelente solución cuando puedan estar en juego datos personales y se planteen dudas de correcta implementación de la LOPD. El sistema FIVIDOC  no muestra el documento ni el contenido del mismo: simplemente verifica que no se ha alterado y, en caso de detectar alteraciones, las muestra.

Está tecnología con solicitud de patente PCT ha sido reconocida con el premio a la aplicación TIC del año 2008 por el Ilustre Colegio de Ingenieros de Telecomunicaciones de Galicia.

Puesto que el sistema utiliza los principios de la firma electrónica, ¿existe un rol equivalente al de las Entidades de Certificación? La respuesta es que sí, y en esta línea desde EADtrust se han iniciado las negociaciones con BitOceans research para la puesta en marcha del servicio.

Caixa Galicia implanta la firma digitalizada en sus oficinas

2 respuestas

La entidad bancaria lleva desde hace un tiempo inmersa en este proyecto, liderado por la CECA, y que tiene como fin mejorar el servicio al cliente y reducir el uso de papel en las oficinas. De momento, Caixa Galicia ha realizado más de tres millones de operaciones con firma digitalizada

Bajo el marco de este proyecto, la caja gallega ha implantando unas 2.000 tabletas digitalizadoras en su red de oficinas. Esto, que le permitirá un importante ahorro de costes, supondrá que los clientes ya no tendrán que firmar en un resguardo, sino en una pantalla o tableta digitalizadora. Para José Manuel Valiño, director de sistemas de Caixa Galicia, “se trata de una idea pionera e innovadora en el sector bancario que, además de ofrecer una mayor seguridad, supone un gran ahorro de costes”.

Implantación

En la primera fase del proyecto, que ha abarcado los primeros meses de 2009, 580 sucursales han comenzado a firmar sus operaciones con clientes de manera digital. Éstas han sumado más de tres millones de operaciones con firma digitalizada.
El proceso de implantación del nuevo sistema proseguirá hasta finales de año, cuando la gran mayoría de las oficinas de la red cuenten con tabletas electrónicas o dispositivos de captura de firma digitalizada.

El sistema ha sido impulsado por la COAS (Comisión de Organización, Automatización y Servicios) de CECA (Confederación Española de Cajas de Ahorros) y se adapta a las últimas tecnologías existentes en materia de digitalización de firmas.

El proyecto recibió el mes pasado en La Haya el galardón Tele Trust Innovation Award para soluciones de seguridad.

Esta iniciativa de firma digitalizada se enmarca en el proyecto “Cero papel” de la caja, que consiste en aplicar las mejores tecnologías disponibles a la operatoria, de tal modo que la optimización de los diferentes procesos permita minimizar el consumo de papel en todas sus vertientes.

Albalia Interactiva diseñó con los especialistas de la caja gallega las medidas de seguridad iniciales del sistema con el fin de preservar al máximo el valor probatorio de la firma obtenida y minimizar el riesgo de controversias.

Visto en Computing

Las Claves de la Supervivencia Digital

Deja un comentario

Los próximos 18 y 19 de noviembre tendrán lugar, respectivamente en Barcelona y Madrid  sendos seminarios sobre seguridad de la información en la empresa y en los organismos públicos, que patrocinamos desde Albalia Interactiva, junto con otras entidades. Se denomina «Las claves de la supervivencia digital» e interesa a entidades de la administración pública que estén trabajando activamente en la administración electrónica y en el cumplimiento con la Ley 11/2007 (Ley de Acceso) y cualquier entidad privada o pública que sigue en la digitalización de sus procesos de flujo de trabajo no sólo internamente, sino también con clientes, proveedores y ciudadanos, así como con el cumplimiento de las directivas europeas 1999/93/EC de la firma electrónica,  2001/115/CE de 20/12/2001 de la factura electrónica,  elos  estándares CAdES, XAdES y PAdES de ETSI, la Ley de Medidas de  Impulso de la Sociedad de la Información (LMISI), entidades que gestionan pagos con tarjeta (PCI-DSS ) y todas las adectadas por la normativa de protección de datos.

Para acceder al programa de la convocatoria e inscribirse haga clic aquí,  llame al 93 656 74 00 o envíe un correo electrónico a .  El espacio es limitado, por lo que es recomendable inscribirse con la mayor celeridad posible.

Sedes

Ponentes:

  • Pete Herzog  es el co-fundador de ISECOM, una organización internacional sin ánimo de lucro dedicada a la mejora de la seguridad  que certifica a miles de profesionales en todo el mundo cada año en OSSTMM (Open Source Security Testing Methodology Manual) siendo también su creador. Sus métodos se han convertido en el estándar para muchas corporaciones incluyendo el ejército Norteamericano, el CERN,  la NASA, la National Security Agency de los EE.UU, Walmart e incluso el Vaticano.
  • Roberto Boya, responsable de los productos servidor de Adobe Ibérica, compartirá su experiencia y conocimiento sobre el intercambio ágil y seguro de documentos con clientes y socios entre departamentos gubernamentales y empresas privadas, garantizando, bajo las normas actuales, la longevidad de los documentos digitales de manera segura, afianzando su integridad y confidencialidad.
  • Julián Inza, Presidente del Grupo Interactiva y uno de los principales expertos en España en procesos de negocio digital y firma electrónica, hablará sobre la necesidad de adoptar sistemas integrales de firma electrónica para cumplir con las normas nacionales y de la Unión Europea asegurando la interoperabilidad de los documentos digitalmente firmados a largo plazo.  
  • Raúl Saurez, consultor de seguridad informática de SafeNet, empresa líder en protección de datos  corporativos,  discutirá sobre la importancia de disponer de sistemas de protección de las claves de firma para garantizar la validez de todas las transacciones electrónicas dentro de entornos con  procesos heterogéneos del negocio electrónico.

Características de zBackTrust

6 respuestas

La firma electrónica es parte de los requisitos que tienen que cumplir entidades financieras y aseguradoras (junto con otras entidades «de especial relevancia económica») para implementar su sistema de interlocución telemática según se dicta en el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. También forma parte de la Sede Electrónica, el Registro Telemático y los sistemas de publicación y notificación fehaciente que todos los organismo de la administración pública deben implementar como consecuencia de la aplicación de las Leyes  30/2007, de 30 de octubre, de Contratos del Sector Público y 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

En las instituciones que cuentan con equipos System z, la solución de firma electrónica de elección es zBackTrust, conjunto de módulos de firma electrónica diseñado por Albalia Interactiva para los equipos de IBM y comercializado conjuntamente con INSA.

El módulo principal es un servicio Web basado en el estándar OASIS DSS (Digital Signature Service) que se instala de forma centralizada y que ofrece funcionalidades de Firma Electrónica Remota, Verificación y Ampliación de Firmas XAdES-XL a toda la organización. Dispone de funcionalidades de firma electrónica de PDFs y está disponible también en forma de API.

Estas son algunas de las características de zBackTrust:

  • Celeridad en los procesos de generación y comprobación de Firmas electrónicas a través de API y DSS (Digital Signature Service).
  • Generación de firmas completas XAdES – XL
  • Validación de certificados y firmas electrónicas (permite comprobar los certificados de cualquier prestador de servicios de certificación)
  • Generación de evidencias electrónicas para la custodia digital de documentos electrónicos firmados
  • Compatible con el procesador criptográfico (HSM) IBM 4764
  • Compatible con diferentes Middleware: WebSphere, Weblogic y Tomcat.
  • Entornos z/OS y z/Linux
  • Cumplimiento de estándares de ETSI y OASIS.

Ventajas de la Solución

  • Indenpendiza los servicios de seguridad y confianza de los procesos de negocio, al disponer de una infraestructura común de firma electrónica para todas las aplicaciones en las que se requiere integrar dichas funcionalidades.
  • Garantiza el crecimiento del sistema con nuevas funcionalidades, sin que afecte al desarrollo del resto de aplicaciones.
  • Minimiza los costes de desarrollo y mantenimiento, evitando la programación de código común en múltiples aplicaciones y plataformas.
  • Garantiza la capacidad de aceptar certificados de cualquier prestador de servicios de certificación europeo.
  • Permite cumplir con la normativa reciente:
    • Factura electrónica (Orden PRE/2971/2007)
    • Contratación Pública (Ley 30/2007)
    • Administración Electrónica (Ley 11/2007)
    • Interlocución Telemática (Ley 56/2007)
    • Directiva 1999/93/CE

Otros artículos relacionados: