Archivo de la categoría: Banca Electrónica

Interoperabilidad de los Prestadores de Servicios de Certificación

8 respuestas

En pasados artículos he hecho referencia a que un cumplimiento diligente de la Directiva 199/93/CE de firma electrónica implicaba la aceptación de los certificados reconocidos (o cualificados) de todos los prestadores de servicios de certificación europeos.

Este punto de vista ha quedado recogido, por ejemplo en la Orden EHA/962/2007, pero hay quien piensa que la Ley 11/2007 y el Esquema Nacional de Interoperabilidad dejan margen para que un organismo concreto pueda establecer criterios propios de aceptación.

Debe aclararse que «los criterios propios» de aceptación solo son de aplicación a las firmas avanzadas, y que el criterio general es que las firmas avanzadas basadas en un certificado reconocido (es decir, cualificado), o en un certificado en cuya política se han utilizado mecanismos de verificación de identidad del firmante presenciales o equivalentes a presenciales, tienen un nivel de aceptación próximo al de las firmas reconocidas o cualificadas.

Sin embargo para facilitar la interoperabilidad de las firmas electrónicas en el marco europeo, hay algunos detalles que conviene tener en cuenta:

  1. Las URL de la CRL y del OCSP del prestador deben estar correctamente codificados en todos sus certificados (extensión AIA).
  2. El servicio OCSP, o, al menos el de CRL, de los prestadores válidos (los que figuran en la TSL) han de estar accesibles sin coste
  3. La información de URL de la Root, de la CPS, de los servicios OCSP y CRL de cada prestador de servicios de certificación deben estar codificados en las TSL de cada estado (que en España corresponde al MITyC, no al MAP) y en la TSL armonizada.
  4. Siempre que el destinatario de una firma sea una entidad privada, la firma electrónica debería construirse con arreglo a las especificaciones XAdES-XL o CAdES-XL (respectivamente descritas en las normas TS 101 903 y TS 101 733). En general, este tipo de firma debería ser de elección en todos los casos. Las administraciones públicas que generen firmas siempre deberían hacerlo con estos formatos (ya que eliminan la carga de la verificación de validez del certificado al receptor)

Es necesario contar con una lista actualizada de prestadores europeos, que debería ser posible obtener a partir del sistema de notificación del artículo 11 de la directiva 1999/93/CE. La información de cada prestador debería contener, además de la URL de la home page, su dirección, email y teléfono (lo que más o menos ya se recoge hoy en día) junto con las URL de la Root, de la CPS, de los servicios OCSP y de la CRL de sus CAs (lo que es esencial para la interoperabilidad, pero resulta difícil de encontrar en la página web del prestador en el sistema actual) .

Es necesario que los sistemas nacionales de supervisión que notifican el estado de gestión de los sistemas de certificación de su pais a la Comisión Europea recojan los datos mencionados en sus repositorios. En España, esta responsabilidad corresponde al MITyC, según se establece en la Ley 59/2003.

Conviene poner en valor los Sistemas Voluntarios de Acreditación, como el de ASIMELEC.

Y es conveniente ir eliminando mecanismos alternativos de verificación de validez de certificados como los definidos en la orden EHA/1181/2003 que tuvieron su razón de ser antes de la publicación de la Ley 59/2003, pero no tienen sentido en el actual marco legislativo. El repositorio de la AEAT ya solo tendría sentido en el marco de la normativa de factura electrónica. En su momento supuso un gran empuje a los prestadores de servicios de certificación españoles, pero en la actualidad supone  un ejemplo mal copiado por muchos organismos públicos que crean sus propias listas de prestadores de servicios de certificación sin ser conscientes con que basta con remitirse a la lista del MITyC.

El problema de censar a los prestadores de servicios de certificación, que NUNCA debería ser un problema del tercero que confía, se está convirtiendo en uno de los frenos al desarrollo de la firma electrónica. Y hubiera sido algo muy sencillo de desarrollar si se hubiera aplicado correctamente el artículo 11 de la directiva 1999/93/CE. Es decir, si los datos antes indicados (URL de la Root, de la CPS, de los servicios OCSP y de la CRL de las CAs de cada pais) se hubieran recogido correctamente desde el principio, y el comité del artículo 9 hubiera sido más proactivo.

Por esta ineficiencia de la Comisión ha sido necesario gastar cientos de miles de euros en proyectos de interoperabilidad cuyos resultados están por ver, y se han creado malas costumbres que se tardará años en erradicar.

Otros artículos relacionados:

FactOffice 1.2

1 respuesta

Acabamos de subir a Codeplex la versión 1.2 de FactOffice.

Soluciona un error de validación del CIF europeo en las plantillas. La parte de código interno de dicha validación ya se actualizó en la versión 1.1

Se han producido 1483 descargas del instalador de la versión 1.0, y 220 del código fuente. De la versión 1.1 se han producido 1614 descargas del instalador y 180 del código fuente.

Valoramos positivamente de los desarrolladores que se inspiran en nuestro código el  que hagan mención a Albalia y Microsoft en sus agradecimientos.

Sin necesidad de tener que tocar el código fuente es posible cambiar «el aspecto» de las plantillas que proporciona Factoffice, como por ejemplo el color de las tablas, agregar datos o images corporativas.

Basta con abrir una plantilla de las que se proporcionan, y cambiar lo que se desee. Eso si, es muy importante no eliminar nada de lo que hay ni cambiar el nombre de ningún componente, ya que implicaria un mal funcionamiento de la plantilla.

Una vez realizados los cambios se guarda el archivo como plantilla de word (*.dotx) y ya tenemos una plantilla personalizada.

En algunos casos, habrá componentes bloqueados que no se pueden editar. Para soslayarlo  hay que habilitar la pestaña de programador en la cinta de opciones, abrir la vista diseño y a partir de ahí ya tenemos acceso a todos los componentes.

«Insistimos, es muy importante: no quitar nada de lo que hay ni modificar los nombre de los componentes».

Se puede aprender esto y mucho más en los cursos de FactOffice que organiza Atenea Interactiva. Este es el 

Programa:

9:15 Recepción de asistentes y entrega de documentación

9:30 Novedades Importantes de la nueva normativa de Facturación

  • Marco Internacional
  • Normativa española: RD 1496/2003; RD 87/2005, de 31 de enero; Orden EHA /962/2007
  • Ley 59/2003, de 19 de diciembre, de Firma Electrónica.
  • Contenido de la factura.
  • Requisitos legales de los sistemas de facturación electrónica.
  • Fechas de entrada en vigor de la obligación de facturar electrónicamente
  • Formatos de las facturas electrónicas XML (formato facturae)

10:30 La firma y certificación electrónica: concepto y aplicaciones

  • Formatos de las firmas electrónicas XML (firmas XAdES)
  • Firmas electrónicas avanzadas y reconocidas. Dispositivos de creación de firma
  • Firmas simples y completas. Revocación de certificados y timestamping
  • Certificados electrónicos reconocidos o cualificados.
  • El DNI electrónico

11:30 Coffee-Break

12.00 La facturación electrónica con FactOffice

  • FactOffice como sistema de facturación electrónica, desde MS Word 2007
  • Obtención e Instalación de Factoffice 1.2
  • Configuración de FactOffice. OCSP y Timestamping
  • Generación de facturas, en papel y electrónicas. Firma electrónica de facturas
  • Envío y recepción de facturas electrónicas. Importación y exportación de facturas

13:00 Ejercicios para practicar el uso de FactOffice

Para esta parte del curso se recomienda que los alumnos acudan con su ordenador portátil compatible con Windows XP, Vista o Windows 7. 

DSS + XAdES-XL + z/OS + Websphere

12 respuestas

Hasta hace poco tiempo esta ecuación daba como resultado «0«. Ahora gracias a la colaboración entre IBM y Albalia, el resultado es zBackTrust.

Una de las mejores soluciones de firma electrónica corporativa como recurso de arquitectura en entornos de zSeries, como z9 y z10, con soporte nativo del hardware criptográfico IBM 4764. Una solución que facilita el cumplimiento de normas como la LAECSP (Ley 11/2007) en el sector público o la LMISI (Ley 56/2007) en el sector privado. Respectivamente la sede electrónica y los medios de interlocución telemática.

Tanto a través de la API (SDK) como de los servicios DSS es posible realizar firmas completas XAdES-XL en el marco de la norma TS 101 903.

La solución está también disponible en zLinux para zSeries, tanto en SuSE (Novell) como Red Hat.

Primeros programas de «Tiempo de Emprendedores»

1 respuesta

Ya se han difundido los primeros programas de «Tiempo de Emprendedores», de Radio Lider en los que colabora Albalia Interactiva, junto con Caixa Galicia y la Cámara de Comercio de A Coruña.

IBM 4764

12 respuestas

IBM 4764 PCI-X Cryptographic Coprocessor

4764pcixcardLa placa IBM 4764 PCI-X es un coprocesador criptográfico que supone el exponente del estado de la técnica  de seguridad criptográfica para su uso en determinados sistemas de servidores de IBM para realizar criptografía DES y de clave pública en un entorno seguro.

El módulo coprocesador seguro es una placa estándar «de tipo corto» PCI-X y  es compatible con versiones de interfaz PCI-X  1.0 y  PCI versión 2.2.

4764tamperproofEl módulo coprocesador criptográfico está sellado e incluye sensores de  penetración física, de energía, y de temperatura para detectar los ataques físicos contra los subsistemas encapsulados. Una batería proporciona energía de reserva que se activa desde el momento de la inicialización en la fábrica hasta el final de la vida útil del producto. Cualquier manipulación que se detecte implica la puesta a cero de la zona de claves y la inhabilitación permanente del subsistema.

El coprocesador IBM 4764 Modelo 001 se puede utilizar con el IBM System x ™, IBM System p ™, IBM System i ™ y sistemas IBM System z ™. los sistemas pueden incluir un máximo de  32 coprocesadores y cada aplicación puede conytolar ahasta 8 coprocesadores.

4764-bloquesEl coprocesador IBM 4764 Modelo 001 cumple la norma FIPS 140-2 nivel 4 de seguridad física. Incorpora un encapsulado seguro en torno a la electrónica para la detección de los más sofisticados intentos de penetración física lo que implica la puesta a cero de la zona de memoria que contiene todos los datos secretos críticos cuando se detecta un intento de manipulación.

Qué es un coprocesador criptográfico.

Un coprocesador criptográfico  es un procesador de uso general que se encarga de las funciones de seguridad relacionadas con el cifrado de clave simétrica o de clave asimétrica, que protege las claves secretas de accesos no autorizados, y que soporta las agresiones físicas y los ataques lógicos.

La criptografía es una herramienta esencial para procesamiento seguro. En particular en el ámbito de la firma electrónica y el cifrado. En estos contextos  la criptografía es una herramienta esencial.

IBM PCI-X ha sido certificado por el NIST para IBM System x, IBM System p, IBM System i, y IBM System z (zSeries). El FIPS 140-2 Nivel 4 declara que la certificación del coprocesador criptográfico IBM 4764-001 PCI-X  está especialmente cualificado para detectar y responder a los intentos de ataques, y para llevar a cabo el procesamiento de forma segura, incluida la correcta aplicación de varios algoritmos criptográficos comercialmente importantes.

FIPS PUB 140-2 es el estándar de referencia para evaluar la seguridad y la correcta aplicación de algoritmos criptográficos de un producto comercial. Esta certificación independiente ofrece la garantía de la seguridad, integridad y exactitud de los algoritmos criptográficos inherentes al diseño del coprocesador.  Bajo la supervisión de los gobiernos de  EE.UU. y Canadá, laboratorios independientes realizan un análisis a fondo del diseño del producto y ponen a prueba  productos finales. El informe de las pruebas se somete a los órganos gubernamentales, y cuando se valoran positivamente,  se emite un certificado.

Los productos BackTrust de Albalia se han probado con éxito con los HSM IBM 4764 generando firmas XAdES-XL a través de interfaz DSS (Digital Signature Service) y a través de la API de firma electrónica.

Caixa Galicia presenta Activa Móvil para iPhone

Deja un comentario

Caixa Galicia presenta su aplicación de Banca Móvil para el iPhone.

Se convierte así en la primera entidad financiera española en disponer de una aplicación propia instalable en el iPhone.

Quienes sean clientes de Activa Móvil y dispongan de un iPhone, pueden  descargar la aplicación de forma gratuita desde el portal de aplicaciones de Apple App Store.

Quienes no sean clientes de la banca móvil, pueden acceder a Caixa Activa y solicitar su licencia para poder descargar la aplicación. Esta iniciativa se une al portal específico para teléfonos móviles CaixaGalicia.mobi de la que esposible  obtener más información en la página Caixa Galicia presenta su web móvil o en la web de Servicios Móviles de Caixa Galicia.

De esta forma, la caja gallega sigue estando en la vanguardia del desarrollo tecnológico, pues si bien otras entidades han presentado su banca móvil para el  terminal de Apple, éstas se limitan a adaptar la web corporativa a las características del móvil. Sin embargo, Caixa Galicia va más allá, desarrollando íntegramente una aplicación que los usuarios de iPhone pueden descargar de forma gratuita desde el portal de aplicaciones Apple App Store.

El acceso a la banca móvil a través de una aplicación presenta numerosas ventajas para el cliente, frente a las tradicionales soluciones web del resto de entidades. De todas ellas, podemos resaltar en primer lugar la seguridad, al incorporar una serie de medidas que impiden el uso fraudulento por parte de terceros; cabe recordar que la banca por internet de Caixa Galicia está considerada una de las más seguras del mundo, con niveles de fraude cero desde que implantó su nuevo sistema de acceso seguro en 2005. En segundo lugar, destaca la comodidad y la fluidez del sistema, al tener el cliente en su móvil todas las funciones necesarias, lo que agiliza el manejo debido a la importante reducción del envío y recepción de información. Por último, hace innecesarias medidas adicionales de autenticación, pues basta con el PIN para acceder al servicio.

SEPA FAST: Un terminal de pago con tarjeta común para todos los países de la unión europea.

Deja un comentario

Los principales  esquemas de sistemas de  medios de pago europeos, se han agrupado para definir un estándar común para todos los terminales que se utilizan para el pago de las compras y servicios con tarjetas en los comercios de sus respectivos países.

Este estándar, denominado “SEPA-FAST”, se ha desarrollado en línea con las directrices de la European  Payments Council (EPC), SEPA Cards Standardisatión “Volume”. EPC es el organismo encargado de regular la normativa Europea en materia de estandarización en Medios de Pago.

Según afirma un portavoz de Sistema 4B, representante español en el grupo CIR TWG, entidad que lo ha desarrollado, “el objetivo básico de estos trabajos es crear un marco de estandarización europeo que flexibilice el despliegue de terminales de pago y  mejore la interoperabilidad dentro de SEPA.  Estos trabajos complementan los que desde hace varios años vienen realizando otras entidades como EMVCo y son resultado de la experiencia técnica de sus integrantes en el desarrollo e implantación de soluciones de medios de pago con tarjetas y terminales en sus diferentes países”.

Los participantes en el  CIR Technical Working Group son:

Caixa Galicia abre un «Centro On» en Santiago de Compostela.

Deja un comentario

Caixa_Galicia_abre_Santiago_segundo_Centro_OnVisto en El Pais, foto de Andrés Fraga.

La nueva sede del Centro de Estudios Económicos de Caixa Galicia abre sus puertas en Santiago.

En ella se integran las áreas de trabajo del Centro de Investigación Económica y Financiera, las aulas de formación del Instituto Tecnológico y Empresarial así como el Centro On.

Además de movilizar a 103 científicos económicos, la caja prevé invertir este año siete millones de euros en investigación y formación económica.

En la foto, directivos de la entidad, el pasado 8 de julio, en la apertura del centro.

El primer Centro On de la caja se puso en marcha en A Coruña en el año 2003 en Cantón Pequeño, céntrica zona de la ciudad, con 25 puntos de acceso a Internet mediante líneas seguras de alta velocidad, teléfonos conectados  directamente con operadores de banca telefónica y asesores personales que guian y tutelan siempre que los clientes lo consideran necesario.

El centro cuenta con una amplia oferta de productos y servicios: depósitos y cuentas de ahorro de alta remuneración; ON Broker, que permite la consulta en tiempo real, así como la contratación de una cartera de más de 100 fondos de inversión, renta variable y renta fija tanto nacional como internacional; ofertas especiales de préstamos personales e hipotecarios en óptimas condiciones; simulación y contratación de productos de seguro; navegación gratuita por Internet a alta velocidad y promociones especiales para clientes…

Caixa Galicia ha planificado la expansión de este ambicioso proyecto, con la apertura en 2009 de este nuevo Centro On en Santiago y un tercero en Vigo para 2010.

El pasado mes de septiembre de 2008, el Centro On Caixa Galicia de A Coruña alcanzó los 100 millones de euros de volumen de negocio total, cifra que representa un 25% de crecimiento interanual. El negocio de esta oficina singular presenta además equilibrio entre la captación de recursos (el ahorro de los clientes, que asciende a 54 millones de euros) y la financiación (los préstamos, que suman 46 millones de euros).

En la cifra de los 100 millones de negocio, destaca el incremento del crédito a la clientela, que crece un 27,83% en los últimos doces meses, hasta alcanzar los 46 millones de euros. Por su parte, la financiación de vivienda aumenta un 25,58%, a pesar de la ralentización crediticia del sector en este capítulo.

La tasa de morosidad se mantiene en un 0,06% de la inversión. Esta tasa se sitúa muy por debajo de la media del sector de cajas de ahorros, el 2.49% a cierre de julio según datos de CECA.

Por su parte, los depósitos de la clientela alcanzan los 54 millones de euros con un incremento interanual de los recursos ajenos del 27,57%, fundamentado en el crecimiento del pasivo en particulares tanto en cuentas a la vista (32,79%) como en cuentas a plazo (27,75%).

Cuando el Centro On abre sus puertas, en diciembre del 2003, parecía impensable imaginar una oficina financiera que combinara negocio y arte, red física y banca virtual, autoservicio financiero y asesoramiento personalizado. El tiempo ha confirmado el éxito de esta apuesta, conjuntado la difusión de la tecnología entre la población con el asesoramiento especializado en materia de productos financieros. Y ello, además, en un horario inédito en el sector financiero, de 09:00 a 20:00 horas, compatibilizando de esta manera el servicio y las necesidades del cliente.

El Centro On de A Coruña ha demostrado que no sólo tal combinación es posible, sino que además la idea ha calado en la sociedad. Así lo demuestran los más de 11.000 usuarios registrados que disfrutan gratuitamente de un catálogo de interesantes servicios y actividades orientado a fomentar la utilización de las nuevas tecnologías de la información y la comunicación.

Los distintos tipos de actos convocados en 2008, se han dirigido a todos los colectivos sociales y han recibido un total de 3.000 inscritos. Han sido charlas, talleres y seminarios sobre Internet y nuevas tecnologías, ciclos culturales relacionados con el arte en Internet o sesiones especiales para niños con Internet como herramienta de diversión (talleres de magia, obradoiros marinos, Arte Aventura).

Caixa Galicia cuenta con las infraestructuras más avanzadas en tecnología y es una de las entidades financieras más innovadoras de España, en las relaciones personales, como se demuestra con los «Centros On», en la gestión electrónica con su «Caixa Activa» por internet, con su estrategia móvil, una de las más consistentes del sector financiero, con soluciones como Activa Móvil y Halcash, y en su autoservicio que permite acceder a las cuentas con el DNI electrónico.

Innovación tecnológica en entornos empresariales

Deja un comentario

content-adobe-docsEl próximo martes 14 de Julio de 2009, de 9:15 a 13:00 tendrá lugar en el Hotel Eurostars Madrid Tower, Paseo de la Castellana 259 B, (situado en una de las 4 emblemáticas torres que señalan el norte de Madrid) la JORNADA ADOBE DE INNOVACIÓN TECNOLÓGICA EN ENTORNOS EMPRESARIALES.

La inscripción es gratuita.

Incluyo la reseña del evento:

El entorno actual exige un mayor desarrollo e innovación en materia TIC para contribuir al éxito de un modelo de crecimiento económico basado en el incremento de la competitividad y la productividad y la mejora de la calidad de servicio al ciudadano y los consumidores.

Las obligaciones legales y las normativas sobre el acceso a la información telemática ofrecen un marco idóneo para realizar cambios que contribuyan a la mejora de los procesos para hacerlos más rentables y eficientes.

Los retos de adaptación con fechas muy tensas requieren reflexionar sobre las herramientas disponibles y por ello nos complace invitarte a unirte a nosotros en esta jornada de innovación tecnológica para revisar los puntos clave de las soluciones Adobe, usadas por las principales empresas públicas y privadas en todo el mundo.

 Agenda

09.15 a 09.30 – Registro

09.30 a 09.45 – Bienvenida y presentación objetivos de la jornada, por Alfons Sort.

09.45 a 10.15 – Adaptación normativa de la Sociedad de la Información en la Administración Pública y Grandes Empresas con Julián Inza.

10.15 a 11:00 – El formato PDF y Adobe Acrobat 9. Estándares ISO, seguridad, firma electrónica, accesibilidad e interoperabilidad.

11.00a 11.15 – Pausa-café

11.15 a 12.45 – Presentación de Soluciones de Adobe:

  • Tramitación electrónica y expediente electrónico. 
  • Hacia la Banca del futuro: Formularios, Seguridad, firma electrónica y RIAs
  • Componentes de la Plataforma Adobe Livecycle ES y su valor añadido

12.45 a 13.00 – Debate

Ponentes:

  • Alfonso Sort, Director General Adobe Systems Ibérica.
  • Julián Inza, Presidente de Albalia Interactiva, profesor del Instituto de Empresa, miembro del Observatorio del Notariado para la Sociedad de la Información, Chairman del UBL Security SC de OASIS Open
  • Javier Fernández, Director Comercial para Administración Pública Adobe Systems Ibérica
  • Ramón de La fuente, Director Comercial para Banca y Seguros Adobe Systems Ibérica
  • Roberto Boya, Director Técnico Adobe Systems Ibérica

 

Nuevos retos de la Sociedad de la Información en Banca y Seguros

Deja un comentario

content-adobeMañana tiene lugar el SEMINARIO ONLINE: Soluciones de Adobe Systems para afrontar los retos actuales del sector financiero al que amablemente me han invitado como ponente los amigos de Adobe.

Es el 25 de Junio a las 11h en esta dirección

Esta es la reseña:

En un sector con una elevada presión regulatoria el desarrollo de la sociedad de la información se ha convertido, además de en un importante reto operativo y comercial, en una fuente adicional de obligaciones legales que las entidades están, afortunadamente, en disposición de cumplir gracias a las herramientas disponibles.

Durante este seminario online veremos con Julián Inza, profesor experto del Instituto de Empresa y miembro del Observatorio del Notoriado para la Sociedad de la Información, qué impactos tecnológicos implican las nuevas obligaciones legales (Ley 22/2007 y 56/2007) en el sector Banca y Seguros. Seguidamente, conoceremos las soluciones basadas en la tecnología PDF que propone Adobe para afrontar los retos actuales del Sector Financiero.

Ahorro de costes con la automatización y eficiencia de procesos

  • Solicitudes de hipotecas
  • Solicitudes de seguros
  • Tramitación de préstamos

Captación y fidelización de clientes

  • Correspondencia segura
  • Apertura de cuentas en entornos RIA
  • Autoservicio para los clientes