Archivo de la categoría: Banca

Fallece Enrique Fuentes Quintana

2 respuestas

Enrique Fuentes Quintana

El pasado 6 de junio de 2007 falleció D. Enrique Fuentes Quintana, casado con Carmen Egúsquiza Cortina y padre de tres hijos, Ignacio, Enrique y María. Quien fuera uno de los impulsores del la Reforma Fiscal española y vicepresidente económico de Gobierno durante la Transición con Adolfo Suárez, falleció en Madrid a los 82 años.

Nació en Carrión de los Condes (Palencia) el 13 de diciembre de 1924 y cursó estudios en el colegio vallisoletano de San José. En 1940 su familia se trasladó a Madrid, donde él estudió Derecho y Ciencias Políticas y Económicas. En 1948 se doctoró en Derecho con una tesis sobre La teoría keynesiana y su posible aplicación a la economía española y logró el mismo grado en Ciencias Políticas y Económicas. Un año más tarde ingresó por oposición en el Cuerpo Técnico del Ministerio de Hacienda.

En 1951 ingresó en el Cuerpo Especial Facultativo de Técnicos Comerciales del Estado; dos años después fue nombrado director del Servicio de Estudios del Ministerio de Comercio, haciéndose cargo de la revista Información Comercial Española. Entre los años 1955 y 1957 dirigió los cursos de Economía de la Universidad Menéndez Pelayo. En 1956 ganó a la cátedra de Economía Política y Hacienda Pública de la Universidad de Valladolid y dos años más tarde ganó la plaza de catedrático de Ciencias Políticas, Económicas y Comerciales de la Universidad de Madrid. Este último año intervino en la elaboración de un proyecto de impuesto sobre la renta y en 1959 participó en la realización del Plan Nacional de Estabilización Económica. Durante el período 1960-68 representó a España en el Comité de Política Económica de la OCDE, en cuyo seno formó parte de un grupo de trabajo sobre prácticas restrictivas de la competencia.

Fuentes Quintana fue designado director del Instituto de Estudios Fiscales del Ministerio de Hacienda en 1969; durante su mandato, que concluyó en 1976 debido a sus discrepancias con el ministro de Economía, Villar Mir, creó las revistas «Hacienda Pública Española» y «Crónica Tributaria», y elaboró, en 1973, el Informe sobre el sistema tributario español, que sirvió de base al proceso de reforma fiscal iniciado en 1977.

En 1977 fue designado senador por el Rey y el presidente del Gobierno, Adolfo Suárez, le nombró ministro de Economía y vicepresidente segundo para Asuntos Económicos, puesto del que dimitió un año más tarde por disconformidad con otros ministros. Poco después de su dimisión asumió la presidencia del grupo de consejeros económicos del Presidente del Gobierno. En 1981 fue elegido presidente de la Comisión de Mejora y Racionalización de la Seguridad Social. Cuando abandonó la política activa retornó a su actividad docente en la Universidad Complutense. En 1988 fue uno de los fundadores de la Escuela Libre de Derecho y Economía de Madrid.

Fue impulsor del Real Decreto 2290/77 de liberalización del Sistema Financiero (el llamado «Decreto Fuentes Quintana«) que introdujo novedades muy importantes en el marco de actuación de las Cajas de Ahorros y propició una gran transformación y expansión de estas entidades. El Decreto Fuentes Quintana equiparó por primera vez la operativa de las Cajas con la de los Bancos, permitiendo la diversificación de su actividad, ampliando la dedicación al segmento familiar e incluyendo la financiación de la pequeña y mediana empresa. Hasta 1977 las Cajas estaban muy limitadas en su actividad, pero el nuevo decreto ley permitió ampliar los horizontes de estas entidades y realizar actividades que hasta entonces reservadas a la banca, como la financiación empresarial, la operativa de extranjero o la gestión de tesorería.

Fue catedrático de Hacienda Pública y Derecho Fiscal en la Facultad de Ciencias Políticas, Económicas y Comerciales de la Universidad Complutense de Madrid (1958-1978), catedrático de Economía Aplicada de la Universidad Nacional de Educación a Distancia (UNED) (1978-1990) y profesor emérito de esta misma Universidad desde 1990. Ha sido distinguido como Doctor Honoris Causa por las Universidades de Valladolid (1990), Oviedo (1991), Sevilla (1993), Castilla-La Mancha (1995), Zaragoza (1995), Santiago de Compostela (1996), Alcalá de Henares (1996), Alicante (1998) y la UNED (2007).

Ha sido Director General de la Fundación “Fondo para la Investigación Económica y Social” (FIES) en la actualidad FUNCAS de las Cajas de Ahorros Confederadas (1979-1995), y de las revistas “Papeles de Economía Española”, “Perspectivas de Sistema Financiero”, “Economía de las Comunidades Autónomas” y “Cuadernos de Información Económica”. En la actualidad era Presidente de Honor de la Fundación de las Cajas de Ahorros (FUNCAS ) desde 1995.

Fue Presidente de la Fundación de Santa María la Real-Centro de Estudios del Románico (1996-2002) y Presidente de Honor desde 2002 hasta la actualidad. Consejero nato del Consejo de Estado (1990). Académico de número de la Real Academia de Ciencias Morales y Políticas (1975) y su Presidente desde 1990, reelegido cada 3 años, hasta su fallecimiento. Consejero del Banco de España (1991-1994) hastala entrada en vigor de la la Ley de Autonomía del Banco de España.

Obtuvo numerosos premios y distinciones:

  • Premio Príncipe de Asturias de Ciencias Sociales (1989).
  • Premio Rey Jaime I de Economía (1993).
  • Premio de Ciencias Sociales y Humanidades de Castilla y León (1994).
  • Premio de Economía de Castilla y León «Infanta Cristina» (1995).
  • Premio Rey Juan Carlos I de Economía (1998).
  • Premio Internacional Fundación Cristóbal Gabarrón de Economía (2005)

Estaba en posesión de la Gran Cruz de Alfonso X El Sabio, la Gran Cruz de la Orden de Carlos III, la Gran Cruz del Mérito Civil, la Gran Cruz de Enrique el Navegante, la Medalla de Honor de la Universidad Internacional Menéndez Pelayo (UIMP) (1998), laMedalla de Oro al Mérito en el Trabajo (2001), la Medalla al Colegiado de Honor del Colegio de Economistas de Madrid, y la Medalla por Méritos del Ministerio de Hacienda.

Entre sus obras destacan:

  • El desarrollo económico en España (1973).
  • Los principios de la imposición española y los problemas de su reforma (1975).
  • La reforma fiscal y los problemas de la Hacienda Pública Española (1989).
  • Las reformas tributarias en España.Teoría, historia y propuestas (1990).
  • De peores hemos salido. Una aproximación a nuestra historia económica reciente (1993).

Otras semblanzas:

ABANCE. Autoridad BANcaria de CErtificacion. PKI del sector financiero

Deja un comentario

Desde el año 2004 estoy presentando ABANCE en diferentes entornos.

Por ejemplo, en el CIT, el Congreso Internacional de Tarjetas que organiza IIR. A lo largo de esta última década, el evento ha sido testigo de la evolución y transformación del sector de las tarjetas y los medios de pago. Desde hace varios años. ABANCE se ha presentado o comentado en estos eventos:

Además, lo he mencionado en algunos eventos:

Y en algunos artículos:

  • Red Seguridad (noviembre 2006)
  • PC PYMES (ver)
  • VNU NET (ver)
  • Tribuna PC PYMES (ver)
  • Financial Tech Magazine (ver)

Y, por supuesto, en este Blog:

También he incluido información en la Presentación de Albalia Interactiva  (este PPT convertido a PDF incluye información sobre ABANCE)

El objetivo del proyecto es contribuir a la creación de una infraestructura de certificación común para la banca, que permita poner en valor inversiones anteriores y aprovechar las ventajas creadas por los desarrollos legislativos y la madurez de la tecnología.

Parte de los logros de iniciativas como Consorcio Iberion, GTA (Global Trust Authority) e Identrus, intentando aprovechar sus mejores aportaciones y soslayar los problemas por los que dichos proyectos no fueron un éxito.

Contribuye a ello el marco de desarrollo de servicios de firma electrónica, especialmente con el DNI electrónico que está siendo una realidad en España, y el despliegue de tarjetas EMV a partir de 2008 como compromiso de SEPA

Despliegue de DNI electrónico en Banca

5 respuestas

Aunque estos dias se están publicando algunas noticias sobre que tal o cual entidad está aceptando el DNI electrónico en determinados entornos, lo cierto es que son entornos «demo» sin una verdadera implementación real.

En cajeros automáticos o kioskos de autoservicio, el driver «oficial» del DNI electrónico no sirve, y es preciso desarrollar funciones especiales, que establezcan el canal seguro con el dispositivo y accedan a los certificados, dando la opción de firmar o autenticar. Y me consta que hay pocas implementaciones reales (como la de Albalia Interactiva) y muchas «ñapas» para presentar una demo con la información disponible en el entorno público del dispositivo (que es muy poca).

En el diseño de los terminales de oficina, también es necesario el empleo de drivers especiales, para captar las firmas electrónicas de los usuarios y pocas entidades han previsto el despliegue de la nueva infraestructura de oficina.

Los servicios centrales deben revisar su arquitectura y resolver la forma en que el DNI electrónico se incardina en toda una nueva suerte de procesos, en los que han de convivir los documentos en papel con los electrónico. Y esto tampoco está hecho en las instituciones.

Y, por supuesto, hay que saber lidiar con firmas completas en entornos escalables y establecer su archivo y custodia, implementando mecanismos probatorios, y aplicando sistemas de validación OCSP y Timestamping.

Sin restar mérito a permitir el uso del DNI electrónico en el establecimiento del canal SSL con autenticación del cliente (que es lo que han mostrado algunas entidades indicando la posibilidad de usar el DNI electrónico al acceder a la banca electrónica via web), eso solo es una parte de lo que hay que hacer, aunque bastante efectivo en un entorno de demostración. Por cierto, semejante a los que los Prestadores de Servicios de Certificación muestran desde hace 5 años, con tecnología muy madura con la que cuenta el Internet Explorer.

O firmar ficheros PDF con Acrobat. El software lo hace todo, y la pizca de complicación surge cuando queremos que la indicación de tiempo (timestamping) y validación sean fiables.

El Despliegue del DNI electrónico es algo más.

Caja de Ahorros de Navarra y la innovación tecnológica

3 respuestas

Pensaba completar el POST de ayer, pero ya ha recibido comentarios, y es casi mejor dedicar un artículo nuevo.

Hay varios aspectos de innovación, si bien algunos no son muy visibles.

  • Contabilidad analítica. La nueva contabilidad analítica de la caja permite determinar la aportación de cada cliente al margen finaciero  y asignarla al proyecto o linea de proyectos que ha elegido. No existe nada más avanzado en aplicación tecnológica de la responsabilidad social corporativa, en este caso en relación con la Obra Social. La frase «tú eliges, tú decides» tiene muchas implicaciones. Ver presentación.
  • EureCAN. Los emprendedores «las pasan prietas» para conseguir financiación. Casi todas las entidades empiezan pidiendo avales. En la CAN se ha definido un modelo genético que cree en el emprendedor. Y se ha ensayado «viviéndolo»: haciendo un Mystery Shopping en el que directivos de la entidad visitaban diferentes entidades de financiación presentando un proyecto que ya había merecido apoyo de la CAN ysufriendo el problema en carnes propias.
  • Mujeres. Son el 50% de la población. La estadística muestra que cuando se abre una cuenta a nombre del marido y de la mujer, el marido figura en primer lugar. ¿Por qué no cambiarlo? No cuesta nada y, a lo mejor, tiene muchas implicaciones.
  • Movilidad (Proyecto cerCANia). Los directivos no tienen despacho fijo. Las salas de reuniones, con mesas redondas, las pueden usar ellos para trabajar o reunirse, y también cualquier persona que visite la caja, si están libres. El puesto de trabajo se configura de forma que el directivo carga con 3 kilos de material pero puede trabajar en cualquier parte con pleno acceso al sistema. Ver presentación. Ya están evaluando la posibilidad de personalizar la configuración del directivo en un lapiz de memoria USB U3 lo que permitiría usar cualquier equipo disponible.
  • Arquitectura. La CAN está en el proceso de renovación de la arquitectura tecnológica. Es un sobreesfuerzo llevar a cabo la migración mientras sigue funcionando todo. Sin embargo, cuando la migración esté concluida, las posibilidades de la Web 2.0 estarán disponibles como recursos de la plataforma.
  • Viálogos. Cuando la Caja se planteó el cambio, pensó que lo mejor que podía hacer era preguntar a sus clientes para conocer sus prioridades. Así nació Viálogos, aunque en la actualidad se ha ampliado su alcance.

Cajas Viálogos

Ahora es una alianza de cajas en la que cada una atiende de forma preferente a los clientes  de las otras cuando necesitan servicios en sus desplazamientos o negocios en sus zonas de cobertura. La alianza se extiende también a los servicios en el extranjero, de forma que los empresarios se sientan acompañados y asesorados cuando se desempeñan en zonas que quizá no conozcan tan bien como la propia. Ya hay sucursal en Londres y una alianza con el Banco Wachovia en Estados Unidos. Y oficinas de representación en Alemania, Bélgica, Francia y Suiza.

  • Multicanalidad. En la Caja se está haciendo un gran esfuerzo por llegar a sus clientes a través de todos los canales a su alcance. Con el despliegue de la TDT está previsto el desarrollo de servicios de banca interactiva a través de las funiones MHP de los equipos avanzados.
  • Blog. Existen herramientas cooperativas y de difusión como esta. Que promueve las redes sociales en Internet de forma equivalente a como las promueve en las CANCHAS, oficinas transformadas en zonas abiertas con todo tipo de actividades que se difunden «boca a oreja».
  • NEO. El Nuevo Entorno de Oficina supone no solo un rediseño del puesto de  trabajo y su funcionalidad informática, sino un rediseño de los sistemas informáticos centrales y su arquitectura. Un proyecto que por sí solo supone a las entidades esfuerzos intensos y sostenidos que pueden llegar a extenderse 3 años. Solo para construir la base sobre la que desarrollar futuros productos y servicios de forma más ágil.

Caja de Ahorros de Navarra a la cabeza de la innovación

9 respuestas

El pasado lunes 29 de mayo tuve ocasión de compartir una interesante jornada con directivos de CAN (Caja de Ahorros de Navarra).

Aunque mi especialidad suele ser la innovación tecnológica, tengo que reconocer que en el caso de la CAN la innovación se extiende a muchos otros ámbitos: innovación organizativa, innovación contable, innovación social, innovación comercial, innovación inversora. Y también, claro, innovación tecnológica.

Seguramente es la CAN la entidad que ha acuñado el témino «Banca Cívica» y está marcando un rumbo a a seguir en el marco de las Cajas de Ahorro estableciendo un principio semejante al «Don’t Be Evil» de Sergey Brin y Larry Page, fundadores de Google. En este caso tensando la exigencia que en general supone el mantenimiento de la Obra Social de las Cajas de Ahorros.

Mecanismos y Servicios de Autenticación de Usuarios

5 respuestas

Los próximos dias  26 y 27 de Junio de 2007 participo en un evento formativo del IIR que se denomina «Mecanismos y Servicios de Autenticación de Usuarios» y que tendrá lugar en el Hotel NH Sanvy (Goya, 3. 28001 Madrid)

Estos son los módulos del Seminario:

MODULO 1
Conceptos clave QUE HAY QUE CONOCER
• Autenticación vs. Identificación
• Problemática de los distintos métodos de autenticación
• Algo que el usuario sabe: contraseñas usadas para el acceso a recursos informáticos, generalmente con un nombre de usuario asociado, y los PINs o NIPS para el acceso a transacciones bancarias
• Algo que éste posee
• Característica física del usuario o acto involuntario del mismo: autenticación biométrica
• Evolución de las soluciones de autenticación

MODULO 2
Tipos de SISTEMAS DE AUTENTICACION
• OATH y tokens compatibles
• Calculadoras OTP basadas en tarjetas EMV
• Tarjetas de coordenadas
• Teclados en pantalla
• Claves de un solo uso: one time password -OTP-
• Dificultades de la creación de estas claves
• Gestión de las claves de un solo uso
• Alternativas a estas claves
• PIN /NIPs
• Sistemas Single Sign On (SSO)
• Claves
• Password
• Sistemas de autenticación de doble factor
• Dificultades y soluciones para la implementación de este tipo de sistemas
• Certificados digitales: qué son, qué conllevan, qué infraestructura requieren, qué iniciativas hay
• eDNI
• Pasaporte
• Tarjetas, token, passphrase
• Biometría
• Voz, escritura, huella, patrones oculares, geometría de la mano
• Uso combinado de distintos sistemas

MODULO 3
Infraestructuras para la implantación DE SISTEMAS DE AUTENTICACION
• Contextos de usuarios: empleados (intranet) y clientes (extranet)
• Definición de las políticas de autenticación
• Estructura del departamento de gestión de identidad
• Infraestructuras de gestión de identidad
• PMI: Privilege Management Infrastructure
• Gestión de directorios
• Conexión de los sistemas de autenticación con la base de datos de clientes
• Conexión de los sistemas de autenticación con la base de datos de empleados
• Incidencia de la LOPD en la gestión de identidad
• Gestión unificada de la autenticación entre diferentes sistemas tecnológicos
• Gestión de bajas
• Gestión de incidencias relacionadas con la autenticación
• Medidas de seguridad de las bases de datos
• Políticas de rendimiento: replicación, copias de seguridad, o posibilidad de que no haya esa base de datos. Base de datos distribuida

MODULO 4
Ejemplos de servicios de autenticación mediante CERTIFICADOS DIGITALES
• Introducción a la criptografía de clave pública y a la firma electrónica
• PKI de uso público. Certificados cualificados. PSC españoles. El DNI electrónico
• Normativa sobre firmas electrónicas y documentos electrónicos
• Uso de certificados para autenticación y para firma electrónica
• PKI de uso privado
• Uso de certificados en SSL
• SmartCard Logon
• Single Sign On basado en certificados
• Certificados y tarjetas chip en entornos multiplataforma: smartphones, PDA, cajeros automáticos, receptores de TDT interactiva

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Revistas especializadas en seguridad

5 respuestas

Ayer hacía mención a algunas publicaciones tecnológicas especializadas, más allá de las genéricas destinadas a los usuarios de PC y con enfoque de informática de consumo.

Creo que puede ser interesante hacer una recopilación de revistas técnicas (y jurídicas) que enfaticen las noticias relativas a la seguridad. Estos medios serían de interés para difundir eventos como Infosecurity, y para dar cobertura a las conferencias y a las empresas expositoras.

Seguro que esta lista es incompleta y que me dejo algunos medios. ¿Seriais tan amables de ayudarme a completarlas?

Migración a la Zona Única de Pagos en Euros

1 respuesta

Uno de los grandes retos con los que se enfrentan las entidades financieras al iniciar 2008 es el de universalizar el despliegue de las tarjetas EMV para todos sus clientes.

Afortunadamente en otras exigencias de la convergencia SEPA, las entidades españolas llevan cierto adelanto.

Sorprende la extraordinaria adaptabilidad de las instituciones españolas que aceptan esta exigencia en el momento más duro del entorno comercial de los que han vivido al reducirse severamente los ingresos por comisiones como consecuencia de un planteamiento premeditamente ingenuo de los diferentes agentes del mercado, y de fuera del mercado, como la del Ministerio de Industria, Comercio y Turismo, que ha actuado de «primo de zumosol» en una actuación que probablemente es tan ajena a las reglas de la libre competencia como la que se ha imputado (en mi opinión, por ignorancia) a las sociedades de medios de pago.

De todas formas, como en todo entorno dinámico los ajustes se irán produciendo de forma que alguien al final pagará la factura. Y ya sabemos a quién le va a tocar.

Invito a leer el artículo homónimo que Fernando Zunzunegui ha incluido en su blog.

CCI presenta el servicio SEPFRA (SERVICIO DE PREVENCIÓN DEL FRAUDE)

1 respuesta

Ya he mencionado con anterioridad algunos de los servicios desarrollados por el Centro de Cooperación Interbancaria (CCI) que son semejantes a PERSUS de ASNEF-Equifax. La información disponible en la actualidad es más amplia.
CCI ha presentado el  Servicio de Prevención del Fraude (SEPFRA) para ayudar a las entidades asociadas a CCI en la detección, prevención y lucha contra el fraude.

Este servicio está formado por los siguientes instrumentos:

  • Centro de Observación del Delito Económico (CODE).
  • Fichero de Documentos Extraviados, Robados y de autoinclusión (DER).
  • Fichero del Servicio de Operaciones Registradas (SOR).
  • Fichero de SOLicitudes de operaciones (SOL).

La finalidad del servicio es servir de herramienta de ayuda a la decisión en las solicitudes presentadas a sus usuarios. El usuario ha de integrarlo dentro de su sistema general de aprobación de solicitudes como un factor a considerar dentro de la decisión final de otorgar o denegar una solicitud.

El servicio se define de carácter cooperativo, es decir, los usuarios podrán ser aquellas personas jurídicas que tengan datos que aportar a los diferentes ficheros que lo componen.

Se ha considerado conveniente la participación en él de empresas de varios sectores, que comparten la característica común de manejar gran cantidad de datos provenientes de solicitudes masivas de contratación de bienes y servicios o de prestaciones derivadas de la ejecución de los mismos. Como estos datos son en buena parte equiparables, pueden ser confrontados entre sí para detectar incongruencias o indicios de fraude y lógicamente, cuanto mayor sea el volumen
de datos incorporados al sistema, habrá mayores posibilidades de detectar intentos de fraude.

CCI ha seleccionado a Experian Bureau de Crédito, S.A. (EBC) como proveedor tecnológico y operativo para la gestión del Sepfra, debido a la experiencia de dicha empresa en la prestación de servicios de gestión de grandes bases de datos para las llamadas entidades de depósito (Bancos, Cajas y Cooperativas de Crédito), por su conocimiento contrastado en la lucha contra el fraude en otros países, y por la trayectoria de una larga relación de negocio con estas entidades y con el propio CCI.

Podrán adherirse al Sistema los siguientes tipos de entidades:

  • Bancos, Cajas de Ahorro y Cooperativas de Crédito.
  • Establecimientos Financieros de Crédito y otras entidades que, según la legislación vigente, tengan obligación de declarar a la Central de Información de Riesgos del Banco de España.
  • Operadores de telecomunicaciones que figuren en el Registro de Operadores dependiente de la Comisión del Mercado de Telecomunicaciones, o Registro que le sustituya, que estén prestando efectivamente en España servicios remunerados de telecomunicaciones a consumidores, y difieran el cobro de los servicios ya prestados.
  • Compañías establecidas en España que se dedican como actividad principal al arrendamiento no financiero a medio y largo plazo de bienes (“renting”).
  • Compañías aseguradoras inscritas en el Registro de Entidades Aseguradoras dependiente de la Dirección General de Seguros.
  • Operadores energéticos en el sector del gas natural, o que en el sector eléctrico se dediquen a la actividad de comercialización y suministro de electricidad, siempre que desarrollen una parte significativa de su actividad en España.

cci-der-funcionamiento.gif

Cuando se presente una solicitud ante una entidad adherida, los datos de la misma serán enviados al proveedor del servicio, el cual les aplicará una herramienta informática de contraste de solicitudes que permitirá, mediante el uso de reglas definidas, la detección de incongruencias o incorrecciones en dichos datos.

El resultado obtenido será comunicado a la entidad adherida. Si se detectasen incongruencias, la entidad determinará, en base a la regla o reglas incumplidas y al resto de información de la solicitud y del solicitante de la que dispone, el buen fin de la operación, y asimismo decidirá si se procede a su análisis e investigación por personal especializado.

Las herramientas de que dispondrá el analista son, además de las que le proporcione su entidad, la propia herramienta de contraste de solicitudes y el acceso a los datos de los ficheros DER, SOL y SOR, que podrán ser consultados individualmente, o con una única consulta a todos ellos.

Dado que el fichero contiene datos de carácter personal, es preciso que se cumplan todas las obligaciones establecidas por la Ley Orgánica de Protección de Datos. Las más destacadas son que es necesario recabar el consentimiento del afectado, que en el caso del DER es la persona que solicita la incorporación y en los ficheros SOR y SOL la que solicita la operación, y establecer un mecanismo de atención de los derechos de los mismos (acceso, rectificación, cancelación y oposición). Estas cláusulas serán comunes a todos los usuarios.

CCI será el responsable de todos los ficheros, en el sentido definido en la legislación de protección de datos. Además, en los casos de los ficheros SOL y SOR, las entidades adheridas serán consideradas responsables del tratamiento, y por tanto responsables de la calidad y exactitud de los datos.