Archivo de la categoría: Banca

Caja de Ahorros de Navarra y la innovación tecnológica

3 respuestas

Pensaba completar el POST de ayer, pero ya ha recibido comentarios, y es casi mejor dedicar un artículo nuevo.

Hay varios aspectos de innovación, si bien algunos no son muy visibles.

  • Contabilidad analítica. La nueva contabilidad analítica de la caja permite determinar la aportación de cada cliente al margen finaciero  y asignarla al proyecto o linea de proyectos que ha elegido. No existe nada más avanzado en aplicación tecnológica de la responsabilidad social corporativa, en este caso en relación con la Obra Social. La frase «tú eliges, tú decides» tiene muchas implicaciones. Ver presentación.
  • EureCAN. Los emprendedores «las pasan prietas» para conseguir financiación. Casi todas las entidades empiezan pidiendo avales. En la CAN se ha definido un modelo genético que cree en el emprendedor. Y se ha ensayado «viviéndolo»: haciendo un Mystery Shopping en el que directivos de la entidad visitaban diferentes entidades de financiación presentando un proyecto que ya había merecido apoyo de la CAN ysufriendo el problema en carnes propias.
  • Mujeres. Son el 50% de la población. La estadística muestra que cuando se abre una cuenta a nombre del marido y de la mujer, el marido figura en primer lugar. ¿Por qué no cambiarlo? No cuesta nada y, a lo mejor, tiene muchas implicaciones.
  • Movilidad (Proyecto cerCANia). Los directivos no tienen despacho fijo. Las salas de reuniones, con mesas redondas, las pueden usar ellos para trabajar o reunirse, y también cualquier persona que visite la caja, si están libres. El puesto de trabajo se configura de forma que el directivo carga con 3 kilos de material pero puede trabajar en cualquier parte con pleno acceso al sistema. Ver presentación. Ya están evaluando la posibilidad de personalizar la configuración del directivo en un lapiz de memoria USB U3 lo que permitiría usar cualquier equipo disponible.
  • Arquitectura. La CAN está en el proceso de renovación de la arquitectura tecnológica. Es un sobreesfuerzo llevar a cabo la migración mientras sigue funcionando todo. Sin embargo, cuando la migración esté concluida, las posibilidades de la Web 2.0 estarán disponibles como recursos de la plataforma.
  • Viálogos. Cuando la Caja se planteó el cambio, pensó que lo mejor que podía hacer era preguntar a sus clientes para conocer sus prioridades. Así nació Viálogos, aunque en la actualidad se ha ampliado su alcance.

Cajas Viálogos

Ahora es una alianza de cajas en la que cada una atiende de forma preferente a los clientes  de las otras cuando necesitan servicios en sus desplazamientos o negocios en sus zonas de cobertura. La alianza se extiende también a los servicios en el extranjero, de forma que los empresarios se sientan acompañados y asesorados cuando se desempeñan en zonas que quizá no conozcan tan bien como la propia. Ya hay sucursal en Londres y una alianza con el Banco Wachovia en Estados Unidos. Y oficinas de representación en Alemania, Bélgica, Francia y Suiza.

  • Multicanalidad. En la Caja se está haciendo un gran esfuerzo por llegar a sus clientes a través de todos los canales a su alcance. Con el despliegue de la TDT está previsto el desarrollo de servicios de banca interactiva a través de las funiones MHP de los equipos avanzados.
  • Blog. Existen herramientas cooperativas y de difusión como esta. Que promueve las redes sociales en Internet de forma equivalente a como las promueve en las CANCHAS, oficinas transformadas en zonas abiertas con todo tipo de actividades que se difunden «boca a oreja».
  • NEO. El Nuevo Entorno de Oficina supone no solo un rediseño del puesto de  trabajo y su funcionalidad informática, sino un rediseño de los sistemas informáticos centrales y su arquitectura. Un proyecto que por sí solo supone a las entidades esfuerzos intensos y sostenidos que pueden llegar a extenderse 3 años. Solo para construir la base sobre la que desarrollar futuros productos y servicios de forma más ágil.

Caja de Ahorros de Navarra a la cabeza de la innovación

9 respuestas

El pasado lunes 29 de mayo tuve ocasión de compartir una interesante jornada con directivos de CAN (Caja de Ahorros de Navarra).

Aunque mi especialidad suele ser la innovación tecnológica, tengo que reconocer que en el caso de la CAN la innovación se extiende a muchos otros ámbitos: innovación organizativa, innovación contable, innovación social, innovación comercial, innovación inversora. Y también, claro, innovación tecnológica.

Seguramente es la CAN la entidad que ha acuñado el témino «Banca Cívica» y está marcando un rumbo a a seguir en el marco de las Cajas de Ahorro estableciendo un principio semejante al «Don’t Be Evil» de Sergey Brin y Larry Page, fundadores de Google. En este caso tensando la exigencia que en general supone el mantenimiento de la Obra Social de las Cajas de Ahorros.

Mecanismos y Servicios de Autenticación de Usuarios

5 respuestas

Los próximos dias  26 y 27 de Junio de 2007 participo en un evento formativo del IIR que se denomina «Mecanismos y Servicios de Autenticación de Usuarios» y que tendrá lugar en el Hotel NH Sanvy (Goya, 3. 28001 Madrid)

Estos son los módulos del Seminario:

MODULO 1
Conceptos clave QUE HAY QUE CONOCER
• Autenticación vs. Identificación
• Problemática de los distintos métodos de autenticación
• Algo que el usuario sabe: contraseñas usadas para el acceso a recursos informáticos, generalmente con un nombre de usuario asociado, y los PINs o NIPS para el acceso a transacciones bancarias
• Algo que éste posee
• Característica física del usuario o acto involuntario del mismo: autenticación biométrica
• Evolución de las soluciones de autenticación

MODULO 2
Tipos de SISTEMAS DE AUTENTICACION
• OATH y tokens compatibles
• Calculadoras OTP basadas en tarjetas EMV
• Tarjetas de coordenadas
• Teclados en pantalla
• Claves de un solo uso: one time password -OTP-
• Dificultades de la creación de estas claves
• Gestión de las claves de un solo uso
• Alternativas a estas claves
• PIN /NIPs
• Sistemas Single Sign On (SSO)
• Claves
• Password
• Sistemas de autenticación de doble factor
• Dificultades y soluciones para la implementación de este tipo de sistemas
• Certificados digitales: qué son, qué conllevan, qué infraestructura requieren, qué iniciativas hay
• eDNI
• Pasaporte
• Tarjetas, token, passphrase
• Biometría
• Voz, escritura, huella, patrones oculares, geometría de la mano
• Uso combinado de distintos sistemas

MODULO 3
Infraestructuras para la implantación DE SISTEMAS DE AUTENTICACION
• Contextos de usuarios: empleados (intranet) y clientes (extranet)
• Definición de las políticas de autenticación
• Estructura del departamento de gestión de identidad
• Infraestructuras de gestión de identidad
• PMI: Privilege Management Infrastructure
• Gestión de directorios
• Conexión de los sistemas de autenticación con la base de datos de clientes
• Conexión de los sistemas de autenticación con la base de datos de empleados
• Incidencia de la LOPD en la gestión de identidad
• Gestión unificada de la autenticación entre diferentes sistemas tecnológicos
• Gestión de bajas
• Gestión de incidencias relacionadas con la autenticación
• Medidas de seguridad de las bases de datos
• Políticas de rendimiento: replicación, copias de seguridad, o posibilidad de que no haya esa base de datos. Base de datos distribuida

MODULO 4
Ejemplos de servicios de autenticación mediante CERTIFICADOS DIGITALES
• Introducción a la criptografía de clave pública y a la firma electrónica
• PKI de uso público. Certificados cualificados. PSC españoles. El DNI electrónico
• Normativa sobre firmas electrónicas y documentos electrónicos
• Uso de certificados para autenticación y para firma electrónica
• PKI de uso privado
• Uso de certificados en SSL
• SmartCard Logon
• Single Sign On basado en certificados
• Certificados y tarjetas chip en entornos multiplataforma: smartphones, PDA, cajeros automáticos, receptores de TDT interactiva

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Revistas especializadas en seguridad

5 respuestas

Ayer hacía mención a algunas publicaciones tecnológicas especializadas, más allá de las genéricas destinadas a los usuarios de PC y con enfoque de informática de consumo.

Creo que puede ser interesante hacer una recopilación de revistas técnicas (y jurídicas) que enfaticen las noticias relativas a la seguridad. Estos medios serían de interés para difundir eventos como Infosecurity, y para dar cobertura a las conferencias y a las empresas expositoras.

Seguro que esta lista es incompleta y que me dejo algunos medios. ¿Seriais tan amables de ayudarme a completarlas?

Migración a la Zona Única de Pagos en Euros

1 respuesta

Uno de los grandes retos con los que se enfrentan las entidades financieras al iniciar 2008 es el de universalizar el despliegue de las tarjetas EMV para todos sus clientes.

Afortunadamente en otras exigencias de la convergencia SEPA, las entidades españolas llevan cierto adelanto.

Sorprende la extraordinaria adaptabilidad de las instituciones españolas que aceptan esta exigencia en el momento más duro del entorno comercial de los que han vivido al reducirse severamente los ingresos por comisiones como consecuencia de un planteamiento premeditamente ingenuo de los diferentes agentes del mercado, y de fuera del mercado, como la del Ministerio de Industria, Comercio y Turismo, que ha actuado de «primo de zumosol» en una actuación que probablemente es tan ajena a las reglas de la libre competencia como la que se ha imputado (en mi opinión, por ignorancia) a las sociedades de medios de pago.

De todas formas, como en todo entorno dinámico los ajustes se irán produciendo de forma que alguien al final pagará la factura. Y ya sabemos a quién le va a tocar.

Invito a leer el artículo homónimo que Fernando Zunzunegui ha incluido en su blog.

CCI presenta el servicio SEPFRA (SERVICIO DE PREVENCIÓN DEL FRAUDE)

1 respuesta

Ya he mencionado con anterioridad algunos de los servicios desarrollados por el Centro de Cooperación Interbancaria (CCI) que son semejantes a PERSUS de ASNEF-Equifax. La información disponible en la actualidad es más amplia.
CCI ha presentado el  Servicio de Prevención del Fraude (SEPFRA) para ayudar a las entidades asociadas a CCI en la detección, prevención y lucha contra el fraude.

Este servicio está formado por los siguientes instrumentos:

  • Centro de Observación del Delito Económico (CODE).
  • Fichero de Documentos Extraviados, Robados y de autoinclusión (DER).
  • Fichero del Servicio de Operaciones Registradas (SOR).
  • Fichero de SOLicitudes de operaciones (SOL).

La finalidad del servicio es servir de herramienta de ayuda a la decisión en las solicitudes presentadas a sus usuarios. El usuario ha de integrarlo dentro de su sistema general de aprobación de solicitudes como un factor a considerar dentro de la decisión final de otorgar o denegar una solicitud.

El servicio se define de carácter cooperativo, es decir, los usuarios podrán ser aquellas personas jurídicas que tengan datos que aportar a los diferentes ficheros que lo componen.

Se ha considerado conveniente la participación en él de empresas de varios sectores, que comparten la característica común de manejar gran cantidad de datos provenientes de solicitudes masivas de contratación de bienes y servicios o de prestaciones derivadas de la ejecución de los mismos. Como estos datos son en buena parte equiparables, pueden ser confrontados entre sí para detectar incongruencias o indicios de fraude y lógicamente, cuanto mayor sea el volumen
de datos incorporados al sistema, habrá mayores posibilidades de detectar intentos de fraude.

CCI ha seleccionado a Experian Bureau de Crédito, S.A. (EBC) como proveedor tecnológico y operativo para la gestión del Sepfra, debido a la experiencia de dicha empresa en la prestación de servicios de gestión de grandes bases de datos para las llamadas entidades de depósito (Bancos, Cajas y Cooperativas de Crédito), por su conocimiento contrastado en la lucha contra el fraude en otros países, y por la trayectoria de una larga relación de negocio con estas entidades y con el propio CCI.

Podrán adherirse al Sistema los siguientes tipos de entidades:

  • Bancos, Cajas de Ahorro y Cooperativas de Crédito.
  • Establecimientos Financieros de Crédito y otras entidades que, según la legislación vigente, tengan obligación de declarar a la Central de Información de Riesgos del Banco de España.
  • Operadores de telecomunicaciones que figuren en el Registro de Operadores dependiente de la Comisión del Mercado de Telecomunicaciones, o Registro que le sustituya, que estén prestando efectivamente en España servicios remunerados de telecomunicaciones a consumidores, y difieran el cobro de los servicios ya prestados.
  • Compañías establecidas en España que se dedican como actividad principal al arrendamiento no financiero a medio y largo plazo de bienes (“renting”).
  • Compañías aseguradoras inscritas en el Registro de Entidades Aseguradoras dependiente de la Dirección General de Seguros.
  • Operadores energéticos en el sector del gas natural, o que en el sector eléctrico se dediquen a la actividad de comercialización y suministro de electricidad, siempre que desarrollen una parte significativa de su actividad en España.

cci-der-funcionamiento.gif

Cuando se presente una solicitud ante una entidad adherida, los datos de la misma serán enviados al proveedor del servicio, el cual les aplicará una herramienta informática de contraste de solicitudes que permitirá, mediante el uso de reglas definidas, la detección de incongruencias o incorrecciones en dichos datos.

El resultado obtenido será comunicado a la entidad adherida. Si se detectasen incongruencias, la entidad determinará, en base a la regla o reglas incumplidas y al resto de información de la solicitud y del solicitante de la que dispone, el buen fin de la operación, y asimismo decidirá si se procede a su análisis e investigación por personal especializado.

Las herramientas de que dispondrá el analista son, además de las que le proporcione su entidad, la propia herramienta de contraste de solicitudes y el acceso a los datos de los ficheros DER, SOL y SOR, que podrán ser consultados individualmente, o con una única consulta a todos ellos.

Dado que el fichero contiene datos de carácter personal, es preciso que se cumplan todas las obligaciones establecidas por la Ley Orgánica de Protección de Datos. Las más destacadas son que es necesario recabar el consentimiento del afectado, que en el caso del DER es la persona que solicita la incorporación y en los ficheros SOR y SOL la que solicita la operación, y establecer un mecanismo de atención de los derechos de los mismos (acceso, rectificación, cancelación y oposición). Estas cláusulas serán comunes a todos los usuarios.

CCI será el responsable de todos los ficheros, en el sentido definido en la legislación de protección de datos. Además, en los casos de los ficheros SOL y SOR, las entidades adheridas serán consideradas responsables del tratamiento, y por tanto responsables de la calidad y exactitud de los datos.

Posibilidades y oportunidades del e-DNI como sistema de identificación electrónica

1 respuesta

El próximo 14 de marzo estaré en el CIT 2007, que este año celebra su décimo aniversario. El evento, coordinado por Trinidad Villar, se ha convertido el la cita anual obligada del sector financiero y de otros (sanitario, transporte) en los que también se emplean diferentes tipos de tarjetas.

Agradezco la invitación del IIR a presidir la jornada de este día dedicada al DNI electrónico, tema que me apasiona y para el que además de mi conferencia están previstas otras de excelentes ponentes.

Transcribo el programa previsto para este día. 

8.45 Recepción de los asistentes y entrega de la documentación
9.00 Café de bienvenida y visita a EXPOcit 2007SPEED NETWORKINGLa oportunidad de saludar a sus colegas antes del inicio de la Sesión en una atmósfera relajada e informal
9.25 Apertura de la Sesión por el Presidente de la Jornada
9.30 Retos de la implantación de sistemas y aplicaciones que permitan aceptar el DNI electrónico para firmar y para identificar al usuario. Medidas tecnológicas que tendrán que llevar a cabo las entidades para adaptarse a la nueva realidad• Adaptación de oficinas y cajeros
• Formatos de firma
• Validación de certificados
• Inclusión de sellos de tiempo
• Almacenamiento de documentos electrónicos con valor probatorio
• La copia en papel para el usuario:su valor probatorio como documento electrónicoJulián Inza Presidente ALBALIA INTERACTIVA
10.15 Implicaciones del DNI electrónico: ventajas derivadas del DNI electrónico en la contratación presencial. DNI electrónico como sistema de autenticación: beneficios y aplicaciones La experiencia práctica de Inversis Banco• Retos de la banca on line que puede solucionar el DNI electrónico
• Auténtico sistema de identificación y herramienta para prevenir el fraude de la banca on line
• Protocolo de actuación ante el delito en entidades financieras
• Fraudes con falsificación documental contra entidades financierasFrancisco Margarite Director de Tecnología INVERSIS BANCO
11.00 Café y visita a EXPOcit 2007
12.00 DNI y las entidades financieras. Interacción del e-DNI en tarjetas financieras La experiencia práctica de Banc Sabadell• ¿Podrán las entidades pedir un segundo documento para asegurar la transacción on line?Pol Navarro Director de Canales Remotos BANC SABADELL
12.45 La incorporación de RFID en los futuros pasaportes y DNIs electrónicos, posibilidades, oportunidades y problemas que se pueden derivar• Qué información puede ser almacenada en el chip, ¿puede significar un ataque a la libertad personal?
• Mecanismos de protección de la información frente a captación de la comunicación inalámbricaJuan Crespo Inspector Jefe DIRECCION GENERAL DE LA POLICIA
13.30 Impacto real del e-DNI en el comercio electrónico• ¿El e-DNI acelerará el comercio electrónico y los negocios en internet?
• Qué nuevas e innovadoras oportunidades abrirá para empresas de distintos sectores
• Qué nuevos servicios potenciará y cómo serán para todos los ciudadanos
• ¿Se ha conseguido agilizar, simplificary abaratar la relación con laAdministración tal y como prometía el e-DNI?
• ¿Se ha mejorado la capacidad contractual digital de las empresas con total seguridad y sobre todo con iguales garantías a las ofrecidasen el mundo real?Luis Cadarso Presidente AECE
14.15 Coloquio
14.30 Almuerzo
16.00 Validación de firmaIgnacio Alamillo Responsable de Asesoría Jurídica CATCERT
16.45 Apuesta de países europeos por distintos sistemas de identificación digital. Cómo prevenir el fraude en la identificación La experiencia práctica del DNI italiano• Aspectos técnicos informáticos sobre el uso del certificado digitalEnrico Nardelli Responsable del DNI Italiano
17.45 Café y visita a EXPOcit 2007
18.15 Cómo autenticar al titular de un documento identificativo en sistemas no presenciales• ¿Es la biometría una alternativa razonable?, si es así, ¿hasta qué punto se puede llegar?
• ¿Se debe utilizar la misma tecnología en documentos oficiales que en documentos privados?, ¿la implantación debe ser la misma?Raúl Sánchez Reillo Director del Grupo Universitario de Tarjeta Inteligente UNIVERSIDAD CARLOS III DE MADRID
19.00 Fin de la Sesión 3
 

Ignacio Temiño valora el mercado hipotecario latinoamericano

2 respuestas

ignacio_temino_aguirre.jpgRecientemente se ha publicado en América Economía una entrevista a Ignacio Temiño, experto en el mercado hipotecario español y ahora también experto en el mercado latinoamericano. Su experiencia ha quedado en alguna medida plasmada en su tesis doctoral sobre “El mercado Hipotecario en Latinoamérica” que presentó en la Universidad Rey Juan Carlos.

Me alegra conocer que este experto amigo mío, está tan considerado al otro lado del charco como a este.

Seminario sobre Documento Electrónico y Factura Electrónica en Toledo

1 respuesta

Los pasados 18 y 19 de mayo de 2006 participé, junto con Fernando Pino en un evento organizado por Maat en la Caja Rural de Toledo, del que transcribo el resumen.

DÍA 18 DE MAYO
La primera jornada del seminario Documento Electrónico y Factura Electrónica se centró en el Documento Electrónico. Julián Inza, experto en certificación digital, Presidente de Albalia Interactiva y exdirector General de Camerfirma y colaborador habitual de maat Gknowledge, y Fernando Pino, experto en Legislación sobre certificación digital, durante el Seminario expusieron los puntos básicos de los documentos electrónicos y su equiparación con los de papel, haciendo especial hincapié en el DNI electrónico.

Julián Inza, experto en certificación digital, fue el encargado de inaugurar la primera sesión del Seminario, explicando la importancia que supone modificar los soportes ante el ritmo imparable de las nuevas tecnologías. A continuación, Fernando Pino expuso los aspectos prácticos de la Firma Electrónica. En este sentido, incidió en los diferentes tipos de firmas existentes, haciendo un análisis de la criptografía asimétrica, técnica en la que esté basada la Firma Electrónica.

DSC_0005Durante su alocución, Fernando Pino también se refirió a la función que cumplen las Entidades de Certificación y a otras funciones asociadas que también les son asignadas, como reglamento, gestión de certificados revocados, lista de certificados expedidos…

Asimismo, detalló cuáles son las partes que componen un certificado digital. Éste tendría que estar formado por el nombre, una clave pública que viene determinada por la Entidad de Certificación, un periodo de validez del certificado, su número de serie, otros atributos de interés y el nombre de la entidad de certificación y su firma. Fernando Pino resaltó que este sistema está fundamentado en una base matemática, igual que la criptografía que se basa en una serie de operaciones que hace que determinadas claves tengan unas características diferentes de otras.

El experto de Firma Electrónica también hizo hincapié en las funciones de seguridad que desempeña la utilización de la firma electrónica, obtenida mediante algoritmos de HASH. Para concluir, Fernando Pino, tras la explicación conceptual, argumentó con ejemplos concretos la aplicación práctica de los mismos e hizo mención a la normativa vigente relativa a los certificados digitales y a los correspondientes prestadores españoles.

Por su parte, Julián Inza se refirió a la realidad que ya supone el DNI electrónico y la necesidad que conlleva su utilización por los ciudadanos como representación de su personalidad jurídica. Tras hacer un breve repaso a la historia del DNI electrónico, señaló que no se trata de un problema de productividad de este documento, sino de cambiar la infraestructura y la educación en España.

DSC_0009El chip que se incorporará en el DNI electrónico contendrá la siguiente información: datos de filiación del titular, imagen digitalizada de la fotografía, imagen digitalizada de la firma manuscrita, plantilla de la impresión digital del dedo índice de la mano derecha, o en su caso, del que corresponda según lo indicado en el artículo 5.3 del Real Decreto 1553/2005, certificados reconocidos de autentificación y firma, y certificado electrónico de la autoridad emisora, que contendrán sus respectivos periodos de validez y las claves privadas pertinentes. En este mismo Real Decreto se alude a la protección de los datos del titular del documento.

Para este experto, uno de los mayores handicaps es que los ciudadanos no van a saber cuáles son las verdaderas utilidades del DNI electrónico, ya que su acceso a la información de este documento es más sencilla. En este sentido, señaló que está previsto que todos los españoles dispongan del DNI electrónico en 2018, debido al proceso espiral que está siguiendo la Administración Pública a la hora de implantarlo. La primera ciudad en disfrutar de él ha sido Burgos, donde las expediciones de DNI se han duplicado, y el proceso finalizará en Madrid y Barcelona, debido a su complejidad burocrática y logística.

Por otro lado, según Julián Inza, es necesario trasladar algunos aspectos del documento papel al electrónico, de manera que queden garantizados ciertos puntos, como la titularidad, la autenticidad, el conocimiento por parte de los interesados, las atribuciones de quien lo expide, los efectos que produce y un marco temporal que estipule tanto la expedición como la validez. Todo ello es posible gracias a las especiales características de los documentos electrónicos (referencias de URL, criptografía, anotaciones en registro de anotaciones)

El paso del soporte papel a electrónico se realiza como compulsa electrónica, en la que el documento electrónico es una copia auténtica, o como replicación electrónico o digitalización certificada, donde partiendo del documento en papel se trata de hacer uno electrónico que permita eliminar el primero. De esta última forma se podrían eliminar toneladas de papeles y facturas.

DÍA 19 DE MAYO
Esta segunda jornada del Seminario versó sobre la regulación normativa de la facturación electrónica en España y en las oportunidades de esta nueva herramienta para todas las empresas.

La segunda jornada del Seminario Documento Electrónico y Factura Electrónica se inició con una explicación, realizada por Julián Inza, sobre la Facturación, como justificante de las operaciones que se realizan. Durante su exposición, el experto en certificación digital, indicó que aunque su formato habitual es el de papel, cada vez más se está utilizando el formato electrónico. Sin embargo, su aceptación total vendrá determinada por el receptor de la misma.

Julián Inza realizó un breve repaso de la normativa sobre facturación destacando la Directiva 115/2001, por la que a partir del 1 de enero de 2004 todas las facturas electrónicas emitidas debían estar armonizadas con el resto de Europa. Esta Directiva establece unos requisitos mínimos que los países no pueden exceder. En esta misma Directiva, se señala, según expuso Julián Inza, que las facturas electrónicas irán con una firma electrónica avanzada, pudiendo ser exigible la cualificada. Por ello, es aconsejable que se incluya directamente la cualificada, como se exige en España, para evitar posibles devoluciones.

En el ámbito empresarial, todos los empresarios y profesionales están obligados a expedir facturas electrónicas, cuando el destinatario sea otro que así lo solicite y cuando el importe sea superior a 3.000 euros. Sin embargo, están exentas de expedición de factura electrónica las operaciones autorizadas por el Departamento de Gestión AEAT, cuando el destinatario sea un particular o en regímenes especiales.

En el caso de delegación a la hora de expedir una factura electrónica, ésta se realiza de igual manera que una factura en papel. Sin embargo, una que de las condiciones que existen es que haya un acuerdo firmado entre la parte que emite y la que recibe la factura para que esto se realice así.

A lo largo del seminario, se hizo un repaso a todos los requisitos que tiene que cumplir una factura, tanto electrónica como papel. En esencia, se trata de que lleven el número y la serie, -pudiendo darse la situación de que haya series separadas (operaciones de diferente naturaleza)-, fecha de expedición, la denominación social completa aunque algunas aplicaciones informáticas no permiten demasiados caracteres-, el NIF, el domicilio societario -no el del centro de trabajo-, la descripción de las operaciones, el tipo o tipos impositivos aplicables, la cuota tributaria y los pagos anticipados, si los hubiera. Además de todos estos datos, también se hará constar si se trata de una copia, de operaciones triangulares

Durante su alocución, Julián Inza también explicó la existencia de documentos sustitutivos, válidos para operaciones inferiores a 3.000 euros. Estos documentos, al no incluir todos los requisitos de las facturas, no tienen derecho a deducción. En este caso, el emisor sólo podía emitir una factura electrónica, si así lo aceptaba el receptor. Sin embargo, ahora bastará con que el emisor diga que si no está de acuerdo con la recepción de facturas electrónicas, lo diga.

En su intervención, Julián Inza hizo referencia a las facturas recapitulativas y rectificativas. Respecto a las primeras, son aquellas que se expiden a final de mes dando fe de las emitidas electrónicamente. En cuanto a las segundas, es preciso señalar cuál es la rectificación, aunque también puede realizarse en la siguiente factura que se emita. Este tipo de facturas han venido a sustituir a las antiguas notas de abono.

Además señaló cuáles son los requisitos que acreditan la autenticidad e integridad de una factura electrónica: la existencia de una firma electrónica avanzada, el intercambio electrónico de datos (EDI) o cualquiera de los elementos propuestos por interesados y autorizados por la AEAT.

Tras la explicación conceptual de la factura electrónica, Julián Inza mostró un ejemplo práctico de la misma. Posteriormente incidió en las ventajas que supone el empleo de este proyecto para las empresas del municipio. En este sentido señaló: los menores costes derivados del ahorro de papel, gastos de envío y gastos de almacenamiento, la agilidad en la tramitación, el ahorro en espacio, un procedimiento más seguro, el ahorro en la recepción de facturas, y la mejora en el control de los procedimientos de las facturas.

Para evidenciar estas ventajas, Julián Inza, presentó un cálculo orientativo de costes del proyecto de lo que supone el envío por correo ordinario frente al empleo de la factura electrónica. En su opinión, es fundamental analizar todos los pasos que influyen en el proceso para poder extraer una conclusión. Un análisis pormenorizado de distintos conceptos para poder establecer un coste total.

Una vez explicadas estas consideraciones, Julián Inza destacó los objetivos del proyecto de facturación, basados en la búsqueda de reducción de costes directos a través de la eliminación de impresión, gestión manual de la factura y correos, y las fases que lo integran. A continuación expuso los distintos formatos que pueden emplearse: tanto los recomendados como los existentes, así como las ventajas que aportan cada uno de ellos.

La fase final del Seminario se dedicó a la exposición de las obligaciones del Emisor, al proceso de Remisión, a las obligaciones del Receptor, como parte determinante del proceso, y a los pasos a seguir en la Recepción.

El Emisor tiene la responsabilidad de conservar los datos de la factura, la responsabilidad de asegurar la legibilidad en formato original, la garantía de acceso a las facturas y, en caso de la factura electrónica, la firma o la delegación en un tercero de esta acción o en el Receptor. Por su parte, al Receptor le corresponde conservar las facturas recibidas en su formato original, opcionalmente puede conservar la factura impresa con marcas gráficas PDF-417, asegurar la legibilidad en formato original, garantizar el acceso completo a las facturas y la disposición del software, que permita verificar la firma y la identidad el Emisor así como la vigencia del certificado.

Julián Inza concluyó el Seminario con un breve resumen de los conceptos tratados durante esta segunda Jornada del que pueden extraerse las siguientes conclusiones:

  • La normativa de factura electrónica tiene alcance europeo.
  • Cualquier formato de factura es válido, aunque cada uno implica su propio formato de firma.
  • Formatos recomendados: PDF (tagged form), XML (UBL 2.0), EDIFACT, UNeDocs.
  • Otros formatos posibles: PKCS#7 y firma de mensajes de Correo (S/MIME).
  • La firma de Ficheros PDF es fácil de entender y permite conversión a XML.
  • La firma de Ficheros EDIFACT y XML es más adecuada para sistemas automatizados.

    Links de interés:
    www.albalia.com