Archivo de la categoría: Banca Electrónica

Caixa Galicia despliega 50 cajeros automáticos que permiten operar con el DNI electrónico

3 respuestas

Caixa Galicia ha presentado el sistema para realizar transacciones con la entidad tanto a través de internet como de sus cajeros automáticos mediante el DNI electrónico, una iniciativa innovadora en Europa.El DNIe, como se conoce a este nuevo documento, ofrece un dispositivo seguro de creación de firma, con lo que su utilización para las operaciones bancarias «aumentará aún más su seguridad», aseguró el director general adjunto de Sistemas de la entidad, José Valiño.

Cajero DNI electrónico

El representante de Caixa Galicia pronosticó que en unos años este DNIe «sustituirá a la tarjeta de débito» para su uso en el cajero, aunque de momento se calcula que este año sólo se pueda emplear en medio centenar.

También es posible acceder a los servicios de Caixa Galicia en internet con este sistema, que consiste en insertar el DNIe en un lector de tarjetas chip conectado al ordenador y tecleando la clave secreta o pin que facilita la Policía con el documento de identidad.

Para garantizar la identidad del cliente, Caixa Galicia se conecta al servicio de consulta OCSP del DNI electrónico que proporciona la Fábrica Nacional de Moneda y Timbre.

Valiño destacó el potencial de este nuevo sistema al afirmar que Caixa Galicia cuenta «con la red de cajeros más tupida de la UE y también la más moderna» y señaló que en Galicia ya existen 110.000 DNIe, una cifra que representa el 21 por ciento de los expedidos en toda España.

A su vez, apuntó que la caja coruñesa está trabajando en un proyecto de innovación para desarrollar un nuevo sistema de acreditación y firma a través del teléfono móvil basado en el DNIe.

También le ha planteado a la Dirección General de la Policía la posibilidad de que en las oficinas de Caixa Galicia se puedan expedir en el futuro los DNIe, como apuntó el jefe de Seguridad, Andrés Martín, quien confió que ofrezcan una «valoración en positivo» a esta propuesta.

La caja gallega está trabajando con varios organismos públicos para poder ampliar los servicios a los clientes a través de internet y de los cajeros mediante la utilización de este documento electrónico, como permitir realizar la declaración de la renta o pedir un certificado de empadronamiento.

 

 

ABANCE. Autoridad BANcaria de CErtificacion. PKI del sector financiero

Deja un comentario

Desde el año 2004 estoy presentando ABANCE en diferentes entornos.

Por ejemplo, en el CIT, el Congreso Internacional de Tarjetas que organiza IIR. A lo largo de esta última década, el evento ha sido testigo de la evolución y transformación del sector de las tarjetas y los medios de pago. Desde hace varios años. ABANCE se ha presentado o comentado en estos eventos:

Además, lo he mencionado en algunos eventos:

Y en algunos artículos:

  • Red Seguridad (noviembre 2006)
  • PC PYMES (ver)
  • VNU NET (ver)
  • Tribuna PC PYMES (ver)
  • Financial Tech Magazine (ver)

Y, por supuesto, en este Blog:

También he incluido información en la Presentación de Albalia Interactiva  (este PPT convertido a PDF incluye información sobre ABANCE)

El objetivo del proyecto es contribuir a la creación de una infraestructura de certificación común para la banca, que permita poner en valor inversiones anteriores y aprovechar las ventajas creadas por los desarrollos legislativos y la madurez de la tecnología.

Parte de los logros de iniciativas como Consorcio Iberion, GTA (Global Trust Authority) e Identrus, intentando aprovechar sus mejores aportaciones y soslayar los problemas por los que dichos proyectos no fueron un éxito.

Contribuye a ello el marco de desarrollo de servicios de firma electrónica, especialmente con el DNI electrónico que está siendo una realidad en España, y el despliegue de tarjetas EMV a partir de 2008 como compromiso de SEPA

Despliegue de DNI electrónico en Banca

5 respuestas

Aunque estos dias se están publicando algunas noticias sobre que tal o cual entidad está aceptando el DNI electrónico en determinados entornos, lo cierto es que son entornos «demo» sin una verdadera implementación real.

En cajeros automáticos o kioskos de autoservicio, el driver «oficial» del DNI electrónico no sirve, y es preciso desarrollar funciones especiales, que establezcan el canal seguro con el dispositivo y accedan a los certificados, dando la opción de firmar o autenticar. Y me consta que hay pocas implementaciones reales (como la de Albalia Interactiva) y muchas «ñapas» para presentar una demo con la información disponible en el entorno público del dispositivo (que es muy poca).

En el diseño de los terminales de oficina, también es necesario el empleo de drivers especiales, para captar las firmas electrónicas de los usuarios y pocas entidades han previsto el despliegue de la nueva infraestructura de oficina.

Los servicios centrales deben revisar su arquitectura y resolver la forma en que el DNI electrónico se incardina en toda una nueva suerte de procesos, en los que han de convivir los documentos en papel con los electrónico. Y esto tampoco está hecho en las instituciones.

Y, por supuesto, hay que saber lidiar con firmas completas en entornos escalables y establecer su archivo y custodia, implementando mecanismos probatorios, y aplicando sistemas de validación OCSP y Timestamping.

Sin restar mérito a permitir el uso del DNI electrónico en el establecimiento del canal SSL con autenticación del cliente (que es lo que han mostrado algunas entidades indicando la posibilidad de usar el DNI electrónico al acceder a la banca electrónica via web), eso solo es una parte de lo que hay que hacer, aunque bastante efectivo en un entorno de demostración. Por cierto, semejante a los que los Prestadores de Servicios de Certificación muestran desde hace 5 años, con tecnología muy madura con la que cuenta el Internet Explorer.

O firmar ficheros PDF con Acrobat. El software lo hace todo, y la pizca de complicación surge cuando queremos que la indicación de tiempo (timestamping) y validación sean fiables.

El Despliegue del DNI electrónico es algo más.

Los gallegos operarán este año en los cajeros con el DNI electrónico

Deja un comentario

Caixa Galicia se convierte en la primera entidad gallega que permite operar con el nuevo carné

Con demostración incluida, con un cajero adaptado como el que dentro de los próximos meses estará presente en 50 sucursales de su red comercial, Caixa Galicia presentó el pasado 2 de mayo la incorporación del DNI electrónico, el DNIe, a su Sistema de Operaciones.

La entidad se ha apresurado a adaptar su negocio a las posibilidades del nuevo carné, por su aportación a la seguridad y privacidad que conlleva (permite rubricar todo tipo de documentos electrónicos e incorpora un dispositivo seguro de creación de firma) y por el hecho de ser Galicia una de las comunidades donde más se ha implantado su utilización. Por las cuatro provincias ya circulan cerca de 110.000, el 21% del total de documentos expedidos en España y, tan sólo de A Coruña, salen diariamente 300 DNIe.

Convencidos de que el nuevo sistema «fomentará la confianza de los clientes en las transacciones electrónicas» —como reconoce el director general adjunto de sistemas de Caixa Galicia, José Valiño— y de que dentro de algunos años, y en determinados dispositivos, «podrá complementar a las tarjetas de débito», la entidad ya ha comenzado a incluir en sus cajeros automáticos lectores especiales que permitan acceder a los certificados incluidos en el nuevo carné, y teclados alfanuméricos, con los que marcar la clave secreta proporcionada por la Policía. Su utilización será equivalente a la de las actuales tarjetas. Simplemente habrá que sustituir el tradicional PIN por el código de ocho dígitos que acompañan a cada documento de identidad. Con respecto al tema de las comisiones, y teniendo en cuenta que el nuevo servicio también se oferta para los no clientes de Caixa Galicia, la entidad aclara que dependerá de los acuerdos de colaboración que se firmen con los distintos organismos.

Las previsiones que maneja la caja gallega apuntan a que antes de que finalice el año estarán adaptados hasta medio centenar de cajeros, la mayor parte de ellos en Galicia, un ritmo de instalación que continuará y crecerá en el 2008.

Además de esta aplicación, la entidad también ha adaptado su canal de servicios por Internet, Caixa Activa, al nuevo dispositivo. Así, desde los primeros días del presente mes, los clientes ya pueden acceder a la web y realizar transacciones tan sólo insertando el DNIe en un lector de tarjetas chip conectado al ordenador y tecleando la clave secreta del certificado de autenticación. Para garantizar la identidad del usuario, Caixa Galicia se conectará con el servidor de validación OCSP del DNIe, que validará la operación. «Desde un punto de vista empresarial se convierte en una herramienta fundamental en las relaciones del sector privado con sus clientes, ya que extiende al primero la posibilidad de desarrollar diferentes servicios aprovechando la inversión realizada por las administraciones públicas», reconoce Valiño.

Pero los proyectos relacionados con el nuevo carné no se frenan aquí. Caixa Galicia también trabaja en un nuevo sistema de acreditación y firma a través del móvil. Mediante la instalación de un certificado digital heredado del DNIe en la tarjeta SIM del teléfono, es posible que en un futuro lleguemos a rubricar un préstamo a través del terminal.

Preguntas y respuestas sobre la adopción de 3D Secure y EMV en España

4 respuestas

Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.

¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?

Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.

¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?

Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.

¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?

Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.

Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.

¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?

En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.

¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?

El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.

Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?

La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.

¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?

En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.

¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?

Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.

¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?

Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.

¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?

Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.

Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.

¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?

Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.

¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?

Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.

¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?

Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.

Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.

¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?

El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.

¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?

Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.

¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?

Si, aunque las entidades no parecen aplicar conscientemente esta situación.

¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?

Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:

¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?

En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.

¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?

El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.

Mecanismos y Servicios de Autenticación de Usuarios

5 respuestas

Los próximos dias  26 y 27 de Junio de 2007 participo en un evento formativo del IIR que se denomina «Mecanismos y Servicios de Autenticación de Usuarios» y que tendrá lugar en el Hotel NH Sanvy (Goya, 3. 28001 Madrid)

Estos son los módulos del Seminario:

MODULO 1
Conceptos clave QUE HAY QUE CONOCER
• Autenticación vs. Identificación
• Problemática de los distintos métodos de autenticación
• Algo que el usuario sabe: contraseñas usadas para el acceso a recursos informáticos, generalmente con un nombre de usuario asociado, y los PINs o NIPS para el acceso a transacciones bancarias
• Algo que éste posee
• Característica física del usuario o acto involuntario del mismo: autenticación biométrica
• Evolución de las soluciones de autenticación

MODULO 2
Tipos de SISTEMAS DE AUTENTICACION
• OATH y tokens compatibles
• Calculadoras OTP basadas en tarjetas EMV
• Tarjetas de coordenadas
• Teclados en pantalla
• Claves de un solo uso: one time password -OTP-
• Dificultades de la creación de estas claves
• Gestión de las claves de un solo uso
• Alternativas a estas claves
• PIN /NIPs
• Sistemas Single Sign On (SSO)
• Claves
• Password
• Sistemas de autenticación de doble factor
• Dificultades y soluciones para la implementación de este tipo de sistemas
• Certificados digitales: qué son, qué conllevan, qué infraestructura requieren, qué iniciativas hay
• eDNI
• Pasaporte
• Tarjetas, token, passphrase
• Biometría
• Voz, escritura, huella, patrones oculares, geometría de la mano
• Uso combinado de distintos sistemas

MODULO 3
Infraestructuras para la implantación DE SISTEMAS DE AUTENTICACION
• Contextos de usuarios: empleados (intranet) y clientes (extranet)
• Definición de las políticas de autenticación
• Estructura del departamento de gestión de identidad
• Infraestructuras de gestión de identidad
• PMI: Privilege Management Infrastructure
• Gestión de directorios
• Conexión de los sistemas de autenticación con la base de datos de clientes
• Conexión de los sistemas de autenticación con la base de datos de empleados
• Incidencia de la LOPD en la gestión de identidad
• Gestión unificada de la autenticación entre diferentes sistemas tecnológicos
• Gestión de bajas
• Gestión de incidencias relacionadas con la autenticación
• Medidas de seguridad de las bases de datos
• Políticas de rendimiento: replicación, copias de seguridad, o posibilidad de que no haya esa base de datos. Base de datos distribuida

MODULO 4
Ejemplos de servicios de autenticación mediante CERTIFICADOS DIGITALES
• Introducción a la criptografía de clave pública y a la firma electrónica
• PKI de uso público. Certificados cualificados. PSC españoles. El DNI electrónico
• Normativa sobre firmas electrónicas y documentos electrónicos
• Uso de certificados para autenticación y para firma electrónica
• PKI de uso privado
• Uso de certificados en SSL
• SmartCard Logon
• Single Sign On basado en certificados
• Certificados y tarjetas chip en entornos multiplataforma: smartphones, PDA, cajeros automáticos, receptores de TDT interactiva

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Información sobre SEPA (Single Euro Payment Area)

9 respuestas

En el sitio web de Iberpay, existe un interesante repositorio de información sobre SEPA.

Making SEPA a reality v1.4
El documento describe información esencial sobre SEPA dirigida a la Comunidad Bancaria desde diferentes perspectivas. Proporciona el material para que los bancos puedan crear sus propios procedimientos de comunicaciones a la medida.
16 Abril 2007
SEPA Direct Debits Scheme Rulebook v2.2
Reglamento del Esquema de Adeudos Directos SEPA. Versión 2.2. Este documento es la versión final aprobada por el plenario del EPC y que sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitan a sus clientes efectuar adeudos directos SEPA a partir de enero de 2008.
13 Diciembre 2006
SEPA Direct Debits Scheme Implementation Guidelines v2.2
Guía de implantación del Esquema de Adeudos Directos SEPA. Versión 2.2. Este documento es la versión final aprobada por el plenario del EPC y dispone las reglas de SEPA para poner en práctica los adeudos directos bajo la norma UNIFI (ISO 20022) XML..
13 Diciembre 2006
SEPA Electronic Credit Transfers Scheme Rulebook v2.2
Reglamento del Esquema de Tranferencias Electrónicas SEPA. Versión 2.2 Este documento es la versión final aprobada por el plenario del EPC y que sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitan a sus clientes efectuar transferencias SEPA a partir de enero de 2008
13 Diciembre 2006
SEPA Credit Transfers Scheme Implementation Guidelines v2.2
Guía de implantación del Esquema de Transferencias SEPA. Versión 2.2. Este documento es la versión final aprobada por el plenario del EPC y dispone las reglas de SEPA para poner en práctica las transferencias de crédito bajo la norma UNIFI (ISO 20022) XML.
13 Diciembre 2006
SEPA Data Model v2.2
Modelo de datos SEPA. Versión 2.2. El documento es la versión final aprobada por el plenario del EPC y describe el modelo de datos aplicable a los productos SEPA, identificando tres niveles de procesamiento (físico, lógico y de negocio) tal y como se identifican en los reglamentos de los esquemas de adeudos y transferencias. El conocimiento de los reglamentos es requisito indispensable para entender este documento.
13 Diciembre 2006
A basic introduction to the Single Euro Payments Area (SEPA)
Breve descripción de algunas de las características básicas, objetivos y alcance de la SEPA. Asimismo, se detallan alguno de los beneficios y que puede tener para los ciudadanos la existencia de una zona única de pagos en euros.
26 Octubre 2006
SEPA Credit Transfer Scheme guidelines v 2.1
Este documento dispone las reglas de SEPA para poner en práctica las transferencias de crédito bajo la norma UNIFI (ISO 20022) XML.
2 Octubre 2006
SEPA Direct Debit Scheme guidelines v 2.1
Este documento dispone las reglas de SEPA para poner en práctica los adeudos directos bajo la norma UNIFI (ISO 20022) XML.
2 Octubre 2006
SEPA Direct Debit Scheme Rulebook v 2.1
Este documento sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitan a sus clientes efectuar adeudos directos en la zona SEPA de manera tan sencilla como lo hacen hoy dentro de su mercado local.
27 Septiembre 2006
SEPA Credit Transfer Scheme Rulebook v 2.1
Este documento sirve como base para la industria de pagos dentro del Área Única de Pagos para que desarrolle y ponga en funcionamiento productos y servicios que permitirán a sus clientes efectuar transferencias de crédito en la zona SEPA de manera tan sencilla como lo hacen hoy dentro de su mercado local.
27 Septiembre 2006
SEPA Data Model which is referred to in the SEPA Credit Transfer and Direct Debit Rulebooks v 2.1
El documento describe el modelo de tratamiento de las órdenes de pago identificando tres niveles de procesamiento (físico, lógico y de negocio) tal y como se identifican en las instrucciones de adeudos y transferencias. El conocimiento de las instrucciones de adeudos directos y transferencias de crédito es requisito indispensable para entender este documento.
30 Agosto 2006
SEPA Credit Transfer Scheme Rulebook v2.0 (Versión castellano)
Versión traducida al castellano de las instrucciones de Transferencias de crédito
8 Marzo 2006
SEPA Credit Transfer figures
Cuadro en el que se detalla el proceso temporal para el proceso de las transferencias de crédito, incluidas las posibles devoluciones de las órdenes de pago.
8 Marzo 2006
PE-ACH/CSM Framework v1.0
El documento establece los principios sobre los cuales los mecanismos de compensación y liquidación deben apoyar los esquemas de adeudos directos y transferencias de crédito sobre la base de la separación entre esquema e infraestructura.
8 Marzo 2006
SEPA Direct Debit Scheme Rulebook v2.0 (Versión castellano)
Versión traducida al castellano de las instrucciones de Adeudos directos
8 Marzo 2006
Framework for the evolution of the clearing and settlement in SEPA v1.0
Marco para la evolución de la compensación y liquidación en SEPA. Versión 1.0
8 Marzo 2006
SEPA Credit Transfer Scheme Rulebook v2.0 (Versión inglés – castellano)
Versión en castellano e inglés de las instrucciones de Transferencias de crédito.
22 Febrero 2006
SEPA Direct Debit Scheme Rulebook v2.0 (Versión inglés – castellano)
Versión en castellano e inglés de las instrucciones de Adeudos directos
22 Febrero 2006
SEPA Direct Debit figures
Cuadros en los que se describe el proceso temporal de los adeudos directos, el procedimiento para el cobro de los fondos y los detalles para la emisión del mandato, su revisión o cancelación.
1 Febrero 2006
EPC Roadmap 2004-2010
Plan del EPC para la puesta en funcionamiento de SEPA desde el año 2004 hasta el 2010.
1 Diciembre 2004

Congreso eDNI: 24 de abril de 2007

4 respuestas

No faltéis a la cita.

El próximo martes 24 de abril, en el Palacio de Congresos del Paseo de la Castellana, 99 de Madrid tendrá lugar el Congreso sobre DNI electrónico de ASIMELEC.

Interesantes experiencias para conocer y compartir.

Y un Workshop (taller) para explicar a los más técnicos la forma de desarrollar aplicaciones en torno al DNI-e.

Ver más detalles en el Web del Congreso.

Actualización.

Ya hay referencias sobre el evento como la de CIO y la de Arbol de Noticias.

Sin embargo, finalmente no se presentará el cajero automático anunciado.

Otra novedad: para permitir que una misma persona pueda acudir al Congreso y al Taller Práctico, finalmente el Taller se ha aplazado hasta el dia 22 de mayo de 9 a 14:00.

Caja Madrid adapta sus cajeros automáticos a las operaciones con DNI electrónico

3 respuestas

Via Cinco Dias.

Caja Madrid dispondrá en verano de su primer cajero automático capaz de efectuar operaciones con el DNI electrónico. Este terminal ofrecerá la posibilidad de realizar nuevas transacciones con la entidad y trámites con la Administración pública. La caja prevé contar con 200 aparatos a finales de año.

E. G. E. / MADRID (03-04-2007)

Todo el mundo cree que la principal utilidad del cajero es dar dinero, pero tiene un potencial mucho mayor porque cuenta con un ordenador instalado’, explica Emilio Bolea, director del departamento de autoservicio de Caja Madrid. ‘Aunque se utilizan mucho a diario, los terminales están infrautilizados desde este punto de vista’ añade a continuación.

El grupo que preside Miguel Blesa se ha puesto manos a la obra para sacar un mayor partido a las máquinas. Este año, la entidad será pionera en la utilización de esta tecnología y pondrá en la calle los primeros aparatos capaces de operar con el DNI electrónico.

Los nuevos cajeros dispondrán de dos ranuras: una será, como hasta ahora, para las tarjetas, y la otra para insertar el carné de identidad.

La operativa con los terminales será la misma: los clientes insertarán su tarjeta y teclearán su número de identificación como de costumbre.

Las novedades llegan a través de la apertura para el carné. ‘La identificación con DNI electrónico abre la puerta a la contratación de productos propios y de terceros en el cajero. Por ahora, facilitaremos operaciones con la Administración, como la petición de certificados del catastro o historiales de la vida laboral’, apuntan desde Caja Madrid.

La entidad todavía no ha decidido qué servicios financieros se ofrecerán por esta vía, aprovechando la identificación digital que permite el nuevo DNI, pero Bolea adelanta que serán ‘los más sencillos’.

En Caja Madrid son conscientes de que el carné todavía está poco extendido. ‘En un principio, no esperamos que mucha gente use esta aplicación porque el documento no estará generalizado hasta 2011’, señala el directivo de la caja.

La entidad adquirirá entre 200 y 250 nuevos cajeros este año para renovar y ampliar su red de terminales. Todos contarán con esta tecnología.

El proyecto piloto echa a andar en Las Rozas y Madrid capital. Caja Madrid instalará sus primeros cajeros capaces de dar servicios no financieros en septiembre. Las máquinas estarán ubicadas en el municipio de Las Rozas (Madrid), así como en la sede central de la entidad, en una de las Torres KIO de la capital.

‘Normalmente los pilotos duran tres meses, pero éste será más largo porque hay pocos DNI electrónicos en la calle’, dice Emilio Bolea. En su opinión, ‘no se trata de un proceso inmediato, sino de trabajar en ello desde el principio e ir a la par con la Administración’.

Ya se están empezando a ver iniciativas prometedoras para usar el DNI electrónico en Cajeros Automáticos y otros dispositivos, en la linea de mis comentarios anteriores sobre el uso del DNI como activador en Banca, el del Cajero del Futuro , de mi presentación en CIT 2007, o del uso del DNI electrónico en todo tipo de dispositivos.