Archivo de la categoría: Compliance

Reglamento (CE) 1546/2006 de la Comisión de 4 de octubre de 2006

Es curioso.

En cada viaje nacional e internacional que hago en avión, no dejo de sorprenderme de la estupidez que rezuma la normativa de supuesta «seguridad aérea» que los guardias jurados, la guardia civil y otras policías tienen que imponer, muchas veces sin un conocimiento detallado y con la mejor voluntad.

En cada viaje me digo que en un próximo post en mi blog he de soltar mi opinión al respecto para quedarme a gusto y he ido posponiendo el tema por despiste.

Pero ya ha llegado la hora de poner «a caldo» el Reglamento (CE) 1546/2006 de la Comisión de 4 de octubre de 2006 que modifica el Reglamento (CE) 622/2003 por el que se establecen las medidas para la aplicación de las normas comunes de seguridad aérea

En primer lugar, veamos el texto:

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Visto el Reglamento (CE) no 2320/2002 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2002, por el que se establecen normas comunes en el ámbito de la seguridad de la aviación civil, y, en particular, su artículo 4, apartado 2,

Considerando lo siguiente:

(1) De conformidad con el Reglamento (CE) no 2320/2002, la Comisión deberá adoptar medidas, en caso necesario, para la aplicación de normas básicas comunes de seguridad aérea en el conjunto de la Comunidad. El Reglamento (CE) no 622/2003 de la Comisión, de 4 de abril de 2003, por el que se establecen las medidas para la aplicación de las normas comunes de seguridad aérea, fue el primer acto legislativo en el que se establecían tales medidas.

(2) Conviene adoptar medidas que den mayor precisión a las normas comunes, en particular para abordar el riesgo creciente de introducción de explosivos líquidos en la aeronave. Estas medidas deberán revisarse cada seis meses a la luz de los progresos técnicos, sus implicaciones en el
funcionamiento de los aeropuertos y los efectos en los pasajeros.

(3) Con arreglo al Reglamento (CE) no 2320/2002, y para prevenir actos de interferencia ilícita, las medidas establecidas en el anexo del Reglamento (CE) no 622/2003 deben mantenerse secretas y no ser objeto de publicación. Idéntica regla ha de aplicarse necesariamente a cualquier acto que las modifique. No obstante, los pasajeros deben estar claramente informados de las normas relativas a los artículos que está prohibido introducir en las aeronaves.

(4) Por consiguiente, procede modificar el Reglamento (CE) no 622/2003 en consonancia.

(5) Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité de seguridad de aviación civil.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1
El anexo del Reglamento (CE) no 622/2003 queda modificado por el anexo del presente Reglamento.

El artículo 3 de dicho Reglamento es aplicable en lo que respecta a la confidencialidad del presente Reglamento.

Artículo 2
El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 4 de octubre de 2006.

Por la Comisión
Jacques BARROT
Vicepresidente

ANEXO
En virtud del artículo 1, el anexo será secreto y no se publicará en el Diario Oficial de la Unión Europea.

Es interesante detectar la contradicción que existe entre que «los pasajeros deben estar claramente informados de las normas relativas a los artículos que está prohibido introducir en las aeronaves» y que «las medidas establecidas en el anexo del Reglamento (CE) no 622/2003 deben mantenerse secretas y no ser objeto de publicación» porque ello implica que cualquier norma abitraria puede ser impuesta sin el recurso de contrastar con la fuente legal.

Como técnica legislativa, también es lamentable, ya que es perfectamente posible disponer de 2 anexos, uno público y otro secreto, de forma que el legislador pueda controlar la consistencia entre ambos, y el anexo público permitiría cumplir el requisito de «informar claramente a los pasajeros».

Lo que trasciende de la norma (publicado, por ejemplo por AENA y en otros sitios de viajes y viajeros) supone un conjunto de medidas tan ridículas que hasta resulta extraño que hayan podido ser aprobadas por pesonas con 2 dedos de frente.

Lo cierto es que la propia elaboración del documento está bajo sospecha. Lo reveló ya hace algún tiempo Ignasi Guardans (que recientemente toca el tema en su blog con el tema «Sumisión Aeroportuaria«) en su artículo «Aeropuertos y legislación secreta» publicado en el Periodico.com y en «Bombas de desodorante» publicado en El Pais que no puedo evitar transcribir.

Aeropuertos y legislación secreta

Un comité que no rinde cuentas ante nadie nos impone unas normas que hemos de acatar sin rechistar

IGNASI Guardans (Diputado al Parlamento Europeo)

Miércoles, 30 de agosto del 2006 (la fecha debe estar mal, porque la norma que se comenta es posterior N.JI.).

Un grupo de expertos en seguridad aérea están reunidos en la planta alta de un edificio de Bruselas. Tienen biografías profesionales distintas, uno ha trabajado en medio mundo, el otro solo vivió fuera de su país durante unos cursos de formación. Pero todos conocen el último modelo de pantalla de rayos X que hay en el mercado, y tienen opiniones firmes sobre cuál es el mejor método para desalojar con urgencia un aeropuerto. Por parte de España asiste un técnico del Ministerio de Fomento. Juntos integran el llamado Comité de Seguridad de la Aviación Civil, creado en el 2002 para facilitar su trabajo a la Comisión en la aplicación de la normativa de seguridad.

LA REUNIÓN se celebra a puerta cerrada. El acta será confidencial. En la agenda, un solo punto: la petición del Reino Unido de extender a toda la UE la prohibición de líquidos en las cabinas de los aviones, tras el descubrimiento de un supuesto complot cuyos detalles son también secretos. La conclusión es doble: no se pueden detectar los explosivos líquidos con los actuales equipos, y difícilmente se puede prohibir cualquier líquido en un avión. Quizá, solo quizá, con otros sistemas sí se pueda, pero es muy caro. Tan solo cabe reducir el riesgo hasta un límite que se estima aceptable. Alguien propone seguir lo que ya han probado los americanos: envases de 100 ml hasta un máximo de 500 ml en bolsitas transparentes.

El 27 de septiembre, el Comité se reúne de nuevo, y por mayoría (con varios votos en contra) aprueba un listado de prohibiciones y unas pocas excepciones. También se permiten definir qué entienden por «líquidos», en una lista abierta. No son juristas, ellos van a lo importante, al grano: ¿para qué complicarse la vida con precisiones y matices? Ese mismo día, un simple intercambio de cartas con el presidente de la Comisión de Transportes del Parlamento Europeo, sin votación alguna, da un barniz democrático al texto. Y el 4 de octubre, la propuesta queda aprobada entre los puntos sin debate por el Colegio de Comisarios, convertida en el anexo secreto del Reglamento 1546/2006.

En apenas cinco días hábiles se ha aprobado una norma directamente aplicable en todos los aeropuertos de Europa. La misma que está detrás de los múltiples interrogantes y contradicciones que han hecho de su aplicación un ejemplo de caos y arbitrariedad en miles de puestos de control. Reglas sin rigor jurídico, de legitimidad dudosa, que no se conocen directamente, solo a través de folletos explicativos. Tampoco las podrá examinar ningún tribunal, al tener carácter confidencial.

¿Alguien imagina una situación similar en otros ámbitos de nuestro sistema jurídico? Es la tecnocracia en su sentido más puro. Pero siempre se puede aprender. A partir de ahora, el Código Penal lo pueden modificar los funcionarios de la Fiscalía General, las leyes de circulación y sus sanciones las pueden aprobar los técnicos de la DGT, y ya nos resumirán su contenido en impresos publicitarios. ¿Para qué necesitamos tanto Parlamento, tanta enmienda, tanta votación, tanto trámite público, tanta segunda o tercera lectura de los proyectos, tanta consulta? ¡Dejemos que nos gobiernen los que saben a golpe de decreto!

Está en juego la legitimidad misma del Derecho que se nos impone a veces desde la UE. Creo no ser sospechoso de falta de convicción europeísta. Y precisamente por ello creo que es necesario denunciar las cosas con claridad. Aunque sea una materia compleja. Porque es esa misma complejidad la que permite ocultar decisiones y métodos que, como la gangrena, están dañando seriamente la democracia del sistema.

En la raíz está la perversión de un mecanismo que la inmensa mayoría de los lectores ignora: la comitología. Les animo a ir a Google: «comitología«. Verán que no lo he inventado, aunque suene mal. Lo que nació como un mecanismo de consulta para mejorar los procesos de ejecución de las normas se está convirtiendo en algunos casos en un sistema rápido para legislar sin rendir cuentas ante nada y ante nadie. Y, cuanto más compleja es la materia, mayor es la impunidad.

HOY, UN GRUPO de personas que nadie conoce, reunidas sin publicidad, y que ante nadie responden políticamente, nos han impuesto unas reglas que estamos obligados a acatar dócilmente para velar por nuestra seguridad. ¿Y mañana? ¿Qué nos espera mañana? Tiene gracia (o deprime, según el día) que cuando se le pregunta al comisario de Transportes, Jacques Barrot, consciente de que él no tenía la autoridad para aprobar lo que ha aprobado, responda con cinismo que «las medidas que contempla este reglamento fueron aprobadas por los estados miembros y por el Parlamento con arreglo a los procedimientos en vigor«. Ya les he contado cómo.

Busquen actas o diarios de sesiones donde la ministra de Fomento haya debatido con sus colegas o en el Congreso lo que un funcionario de su departamento aceptó en nombre de nuestro país. No lo encontrarán. En Madrid les dirán que esto lo impone Europa. Y en Bruselas les dirán que sin el consentimiento de Madrid, París o Berlín o Praga no lo habrían podido aprobar. Y, entre tanto, todos a obedecer sin preguntar, y nuestra democracia y nuestros ideales europeos cada día un poco más pobres, cada día un poco más débiles.

Bombas de desodorante (via Tribuna Libre)

Desde hace unos días, millones de pasajeros en los aeropuertos de toda Europa creen que alguien se ha vuelto loco.

Por Ignasi Guardans i Cambó, diputado al Parlamento Europeo. Alianza de los Demócratas y Liberales por Europa (EL PAÍS, 23/11/06):

Hasta el momento, en el mejor de los casos, los pasajeros hacen en cada caso un acto de resignación, que a pesar de su carácter laico se asemeja mucho a la más genuina resignación cristiana: Dios, en su infinita sabiduría, sabe más que nosotros, y si nos hace pasar por este trance seguro que tiene sus motivos. No somos nosotros, pobres criaturas, quienes debamos poner en cuestión su Providencia. Pero aquí el papel de Dios, como muy acertadamente escribía en estas páginas uno de sus mejores columnistas, lo asume la Unión Europea, aunque nadie sepa muy bien a qué o a quiénes nos referimos al invocar a esta nueva divinidad que ordena nuestras vidas.

Sin embargo, para quienes hace tiempo que rezamos más bien poco y cuando tratamos con la autoridad competente preferimos sustituir la aceptación religiosa por la exigencia democrática y ciudadana, es importante denunciar en voz alta esta situación que a mi juicio refleja las graves perversiones de un sistema normativo que afecta a nuestras vidas y a veces es más propio de la China de hace 25 años que de nuestras democracias.

El 27 de septiembre de 2006 se reunió el Comité de Seguridad de la Aviación Civil, un organismo técnico formado por expertos de los 25 Estados miembros creado en el año 2002 para auxiliar a la Comisión Europea cuando deba formular propuestas en la materia. En esa reunión se debatió una propuesta de revisión de las medidas de seguridad, que contenía las nuevas normas sobre líquidos, entre otras. Las mismas que en Europa llevaban unos meses aplicándose sólo en vuelos desde y hacia el Reino Unido. Normas improvisadas tras la supuesta desarticulación de un supuesto comando que pretendía un supuesto atentado de grandes dimensiones (no es quien firma, sino el New York Times quien puso en cuarentena gran parte de la información que sobre ese oscuro episodio se divulgó desde Londres).

La reunión de ese órgano técnico fue a puerta cerrada, y el acta de la sesión es secreta. En Europa lo “secreto” está creciendo en la misma medida en que crece la etiqueta “seguridad”. En todo caso, según fuentes de confianza, los técnicos de tres Estados rechazaron la propuesta por desproporcionada. Aun así, se aprobó con una mayoría muy cualificada.

La semana siguiente, sin previa consulta al Parlamento ni a nadie, la Comisión Europea aprobó el Reglamento 1546/2006, que convertía en ley para toda Europa la propuesta técnica cerrada unos días antes. Pero la norma nunca ha sido publicada: el texto -que se impone directamente a todas las autoridades de Europa- fue también declarado secreto. Es decir: el Reglamento tiene un solo artículo, que se limita a aprobar un Anexo con las especificaciones sobre qué se puede llevar, cuándo y cómo. Y estas reglas “serán secretas y no se publicarán”, aunque “se pondrán a disposición de las personas debidamente autorizadas por los Estados miembros o por la Comisión”.

En consecuencia, los ciudadanos no tenemos ninguna posibilidad de verificar, o en su caso impugnar, la aplicación de esta norma, porque no tenemos derecho a conocer su contenido. Claro que tampoco la conocen los uniformados que deben aplicarla en los controles de nuestros aeropuertos, profesionales que encuentran en su intransigencia y su rigidez la mejor garantía de continuidad para su puesto de trabajo. Ellos y ellas han recibido simplemente un folleto con instrucciones. Y sólo ellos tienen la autoridad para decidir si autorizan o no un bote con leche materna, si hay que descalzarse o no y por qué, o si deben exigir receta médica por un jarabe contra la tos que puede ser esencial para el viajero pero que no la necesita.

La Comisión se limitó a publicar una extensa nota de prensa en forma de preguntas y respuestas, que por lo demás ilustra bien la frivolidad con la que se ha actuado, por ejemplo al reconocer que todo se basa en lo que “han experimentado los americanos” (sic). En el texto informa también de una serie de confusas excepciones a las reglas, algo bien inútil pues hasta ahora las notas de prensa no pueden utilizarse como argumento ante las fuerzas de seguridad.

No consta debate alguno sobre la proporcionalidad de las medidas y sus alternativas (que el propio Frattini criticaba dos semanas antes de su aprobación). No sabemos qué base científica tienen las supuestas bombas líquidas, ni qué cantidades resultarían peligrosas. No se ha evaluado el impacto económico y comercial del incremento en la facturación de equipajes y su distorsión grave de todo el sistema aeroportuario europeo, en especial en materia de vuelos de conexión. Se ha impuesto de un plumazo un nuevo estándar de envasado a toda la industria cosmética y farmacéutica. Y a todo ello se añaden interrogantes graves en la protección de la dignidad y la intimidad de los viajeros, o sobre discriminación de los enfermos.

Millones de personas y miles de empresas sufren ahora los efectos de una norma secreta, impuesta por quienes poco menos que responden sólo ante Dios y ante la Historia, cuya entera tramitación legal ha durado una semana. O los europeístas combatimos y rechazamos estas prácticas, o ya llegarán quienes cuestionen el actual modelo de construcción europea con argumentos cada vez más difíciles de rebatir.

Lo cierto es que la barbaridad, con los abusos y arbitrariedades que conlleva está siendo acatada sin rechistar por los buenos ciudadanos por «su seguridad» (algunos con el cachondeo en la mirada y en la sonrisa, pero intentando no irritar a los funcionarios y contratados) tal y como señala Ignasi Guardans el post mencionado («Sumisión Aeroportuaria«) .

Pero cada vez hay más voces que avisan de que «el emperador está desnudo» y no es que lleve un traje que solo lo ven los listos:

Por cierto, respecto al secreto, tema que da para partirse de risa, no os preocupéis, porque en el propio web de La Moncloa se explican con detalle (usando los propios términos del anexo secreto) los aspectos principales del Reglamento de Seguridad Aerea (pdf).

Francisco Ros clausura el 4º Foro de las Evidencias Electrónicas

3 respuestas

Logo Foro Evidencias Más de 400 personas asistieron al IV Foro de las Evidencias Electrónicas que se celebró el pasado 15 de junio de 2007 en el Hotel Ritz.

El acto, organizado por Albalia Interactiva y el despacho de abogados Garrigues, contó, en la conferencia de clausura, con la intervención del secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Francisco Ros, quien incidió en el «protagonismo creciente» de la sociedad en internet, donde cada día se crean 100.000 nuevos «blogs» y el número de internautas -actualmente 2.000 millones de personas- se duplica cada cuatro años.

Según sus palabras, casi cinco millones de españoles harán su declaración de la renta a través de internet este año. El secretario de Estado subrayó el impacto de la red en los modelos de negocio y aseguró que España, «con más de 20 millones de internautas», es una comunidad «muy potente» que evoluciona «al ritmo europeo» en materia electrónica, aunque «aún quedan muchos retos en materia de seguridad», agregó.

Sobre esta cuestión, el magistrado de la Sala Segunda del Tribunal Supremo Manuel Marchena criticó la «pereza institucional para asumir los compromisos normativos» que requiere la sociedad de la información, porque «los jueces necesitan un marco jurídico claro que aplicar, por ejemplo la intervención del correo electrónico».

El portavoz del Consejo General del Poder Judicial, Enrique López, abogó por un concepto de prueba electrónica de carácter trasnacional y por la formación de un grupo de peritos oficiales especialistas en materia informática que asesoren a los jueces.

Antonio Garrigues en el IV Foro de las Evidencias Electrónicas Por su parte, el presidente del Foro, Antonio Garrigues Walker, afirmó que para avanzar en «democracia electrónica» y saber realmente «cómo está España» en materia de nuevas tecnologías con respecto a otros países, hay que mejorar «nuestros conocimientos y técnicas estadísticas».

Entre las medidas que se están implantando en España contra la «ciberdelincuencia», la mayor parte de los participantes en el acto coincidieron en alabar la implantación del DNI electrónico, que permitirá, entre otras cosas, identificar a los remitentes de los emails y evitar los correos-basura que expanden los virus.

El evento tuvo lugar gracias a la Colaboración de Red.es y al patrocinio de AnCert, Consejo General del Poder Judicial, Cybex, El Derecho, Informática El Corte Inglés, Postal Trust, Secuware, SGAE, Symantec y T-Systems.

La Presentación del 4º Foro de las Evidencias Electrónicas corrió a cargo de D. Antonio Garrigues Walker. Presidente del Foro y la Ceremonia de Apertura la protagonizó D. José Marqueño, Presidente del Consejo General del Notariado.

En la primera sesión sobre la Prueba Electrónica intervinieron Dña. Mª Ángeles Manzano, Socia de Garrigues, D. Enrique López, Vocal del Consejo General del Poder Judicial y D. Manuel Marchena, Magistrado de la Sala Segunda del Tribunal Supremo, con la moderación de D. César Belda, Notario y Director General de Feste.

En la segunda sesión sobre Ciberdelincuencia intervinieron D. Juan Salom, Comandante del Grupo de Delitos Telemáticos, en la Unidad Central Operativa de la Guardia Civil, D. Jorge Martín, Jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica en la Comisaría General de Policía Judicial y D. Juan Carlos Ruiloba, Jefe del Grupo de Delincuencia Tecnológica y Delitos contra la Propiedad Intelectual e Industrial de Barcelona, con la moderación de D. Jorge Alcalde, periodista y Director de la Revista Quo.

Tras el café tuvo lugar la tercera Sesión, centrada en la Desmaterialización de la Propiedad Intelectual: el ejemplar electrónico, con las intervenciones de D. Pablo Hernández, Director de los Servicios Jurídicos de la SGAE, Dña. Bárbara Navarro, Directora Antipiratería de NBC Universal y D. Salvador Esteban, Director de Asesoría Jurídica de la Federación Antipiratería, y la moderación de D. José María Anguiano, Socio de Garrigues.

En la cuarta sesión centrada en los Aspectos Técnicos de la Prueba Electrónica y que moderé yo (D. Julián Inza, Presidente de Albalia Interactiva, como certeramente anunciaba el programa) dió apenas tiempo para hacer 2 rondas de preguntas a D. Vicente Calzado, Director de la División de Tecnología de Informática El Corte Inglés, D. Luis Jara. Director de Seguridad e-Security & Professional Services de T-Systems, D. Carlos Jiménez, Presidente de Secuware, D. Matías Bevilacqua, Director Tecnológico de Cybex y D. Juan Ramón Fontán, Advisory Services Manager de Symantec.

El bloque técnico se cerró con la intervención de D. Sebastián Muriel, Director General de Red.es centrada en las Actuaciones de Red.es en el Ámbito de la Seguridad Informática, que sirvió de referencia posteriormente a la intervención del secretario de estado.

Tras una breve intervención a modo de Resumen y Conclusiones por D. Antonio Garrigues Walker, el Foro acabó con la Ceremonia de Clausura en la D. Francisco Ros, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Turismo y Comercio destacó los avances que se han producido recientemente en el desarrollo de la Sociedad de la Información en España.

Tras el acto formal, la fiesta continuó en los jardines del Hotel Ritz. Un cóctel en el que retomar contactos de colegas y que permite la relación entre técnicos y juristas.

Preguntas y respuestas sobre la adopción de 3D Secure y EMV en España

4 respuestas

Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.

¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?

Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.

¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?

Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.

¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?

Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.

Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.

¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?

En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.

¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?

El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.

Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?

La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.

¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?

En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.

¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?

Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.

¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?

Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.

¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?

Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.

Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.

¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?

Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.

¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?

Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.

¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?

Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.

Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.

¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?

El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.

¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?

Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.

¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?

Si, aunque las entidades no parecen aplicar conscientemente esta situación.

¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?

Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:

¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?

En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.

¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?

El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.

Como puedo reclamar a un PSC

12 respuestas

El Seguro de Responsabilidad Civil para PSC (Prestadores de Servicios de Certificación) es uno de los temas vidriosos de la Ley 59/2003 de Firma Electrónica (en realidad lo era todavía más en el real decreto anterior).

Por un criterio arbitrario se impone un gasto a los PSC que no tiene contrapartida.

Todavía no he visto en ninguno de los prestadores de servicios de certificación que operan en España una sección del web que diga «Reclamaciones» con frases como las siguientes:

«Si usted considera que ha sufrido un perjuicio como titular o suscritor de certificados emitidos por nuestra entidad, puede reclamar de la siguiente forma…»
«Si usted considera que ha sufrido un perjuicio como tercero que confía en certificados emitidos por nuestra entidad, puede reclamar de la siguiente forma…»

Por lo cual, no sé de qué sirve, en realidad el seguro de responsabilidad civil. Y no digamos el Aval o el Seguro de Caución.

Porque, desde luego, para lo que no sirve es para responder de incumplimientos de la normativa, para lo cual existe otra vía de actuación, derivada de la tipificación de faltas y sanciones (que no pueden ser cubiertas por un seguro).

Esquema de certificación de Prestadores de Servicios de Certificación de ASIMELEC

Deja un comentario

En el Congreso del pasado 9 de mayo despertó cierto interés el Esquema de Certificación de PSC de ASIMELEC.

Sorprende el hecho de que desde la disponibilidad de este marchamo de calidad existan tan pocos prestadores certificados.

Sobre todo sabiendo que se referencia en el repositorio del artículo 11 de la Directiva 93/1999.

Además los PSC certificados lo tienen más fácil para ser incluidos en las listas de prestadores de confianza de Microsoft y de Mozilla (Firefox) y su seguro de responsabilidad civil es más barato.

Y posiblemente encuentren más sencilla su incorporación a los repositorios del Ministerio de Industria, Turismo y Comercio y de la Agencia Tributaria. O se facilite su incorporación a las plataformas comunes de validación de las Administraciones Públicas, como las del MAP, la Junta de Andalucía, CATCERT, Izenpe o la ACCV.

Actualización (enero 2009)

Al rediseñarse la web de ASIMELEC, algunos enlaces han dejado de funcionar. Estos son los enlaces actuales:

Publicidad engañosa

17 respuestas

Por Deambulando he conocido una curiosa anécdota sobre la forma de exigir nuestros derechos en caso de publicidad engañosa, práctica, por lo que se ve, bastante más frecuente de lo que yo suponía.

Se trata de las ofertas increibles de coches, electrodomésticos, equipos multimedia que se adjuntan a los periódicos dominicales, por ejemplo.

La anécdota se refiere a un eslogan que una empresa de Gran Consumo utiliza de forma abusiva: «Yo no soy tonto«.

En Deambulando, se menciona correctamente la Ley 34/1988, de 11 de noviembre, General de Publicidad, como la ley a tener en cuenta, pero no es la única. De hecho, las cláusulas en letra pequeña del tipo ”hasta fin de existencias” tampoco se ajustan a derecho.
Veámoslo:

1. La Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios dice en su artículo 8.1: «el contenido de la oferta, promoción y publicidad de los productos, actividades o servicios, las prestaciones propias de cada producto o servicio, y las condiciones y garantías ofrecidas, serán exigibles por los consumidores o usuarios, aun cuando no figuren expresamente en el contrato celebrado o en el documento o comprobante recibido.» Por tanto, las condiciones establecidas por el anunciante en su oferta publicitaria tienen carácter contractual, siendo exigibles por los consumidores.

2. La misma Ley 26/1984, dice en su artículo 10.1 a): que «las cláusulas, condiciones o estipulaciones que, con carácter general, se apliquen a la promoción o venta de los productos o servicios…deberán cumplir los siguientes requisitos:

a) concreción, claridad y sencillez en la redacción, con posibilidad de compresión directa, sin reenvíos a textos o documentos que no se faciliten previa o simultáneamente a la conclusión del contrato, y a los que, en todo caso, deberán hacerse referencia expresa en el documento contractual.
…
c) buena fe y justo equilibrio entre los derechos y obligaciones de las partes, lo que en todo caso excluye la utilización de cláusulas abusivas.» Señalándose en el artículo 10 bis que “serán nulas de pleno derecho y se tendrán por no puestas las cláusulas, condiciones y estipulaciones en las que se aprecie el carácter abusivo”

3. La nueva Disposición adicional primera de la ya citada ley 26/1984 considera cláusulas abusivas aquellas que vinculen el contrato a la voluntad del profesional y, específicamente la reserva a favor del profesional de facultades de interpretación o modificación unilateral del contrato sin motivos válidos especificados en el mismo. Igualmente, son cláusulas abusivas:

La supeditación a una condición cuya realización dependa únicamente de la voluntad del profesional para el cumplimiento de las prestaciones, cuando al consumidor se le haya exigido un compromiso firme

La concesión al profesional del derecho a determinar si el bien o servicio se ajusta a lo estipulado en el contrato.

4. Asimismo, el Código Civil establece que » la validez y el cumplimiento de los contratos no pueden dejarse al arbitrio de los contratantes» y que «los contratos se perfeccionan por el mero consentimiento y desde entonces obligan no sólo al cumplimiento de lo pactado, sino también a las consecuencias que según su naturaleza sean conformes a la buena fe, al uso y a la Ley.»

5. Por otra parte, la Ley 34/1988, de 11 de noviembre, General de Publicidad, dice que es ilícita la publicidad engañosa, siendo, considerada ésta la que «de cualquier manera, incluida su presentación, induce o puede inducir a error a sus destinatarios, pudiendo afectar a su comportamiento económico…Es asimismo engañosa, la publicidad que silencie datos fundamentales de los bienes, actividades o servicios cuando dicha omisión induzca a error a los consumidores.»

Por tanto, cabe, en función de la Ley 26/1984 exigir el cumplimiento de lo anunciado, y en función de la Ley 34/1988 exigir la cesación de la conducta engañosa.

Una sentencia cuestiona la firma digital en los registros mercantiles

2 respuestas

La noticia, aparecida hace exactamente una semana (el 7 de octubre de 2006) en el periódico económico «Expansión» se centra en el coste, pero yo quisiera centrarme en la barbaridad conceptual.

Ayer preparé el terreno para este comentario al publicar la referencia a la Instrucción de 13 de junio de 2003, de la Dirección General de los Registros y del Notariado, complementaria de la Instrucción de 30 de diciembre de 1999, sobre presentación de las cuentas anuales en los Registros Mercantiles mediante procedimientos telemáticos.

Ahora adjunto la noticia. Después vendrán mis comentarios.

En 2005, en los registros mercantiles de toda España se depositaron más de un millón de cuentas anuales de sociedades de todo tipo. Sin embargo, sólo el 5,1% del total se presentó utilizando como certificado de la aprobación de los números del balance la firma electrónica.

WikiSTC compendio de información de seguridad

2 respuestas

A través de Harlok me he enterado de que se ha publicado la versión española del Wiki sobre seguridad WikiSTC. Habrá que ir dándose de alta para colaborar.

Securewave Sanctuary Device Control.

1 respuesta

Mensaje para directivos y responsables de seguridad.

Evite que los empleados se lleven ficheros y documentos de la empresa sin su consentimiento.
Publique y haga cumplir sus políticas de gestión de la información.

Hay normas como la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) que imponen ciertas obligaciones a las empresas respecto a las medidas de seguridad que deben seguir.

Lo que pretende esa norma es proteger los datos de las personas, que pueden verse sometidos al abuso de un tratamiento indiscriminado en manos de empresas de marketing y publicidad, especialmente con las posibilidades de tratamiento masivo que dan los ordenadores. Sin embargo, las medidas de seguridad que impone su Reglamento (de momento el Reglamento de la anterior LORTAD, aunque se espera la próxima publicación del Reglamento específico de la LOPD) son de gran utilidad para proteger otros tipos de información.

Controles de Sanctuary Device Control Uno de los riesgos que han aparecido recientemente es el de los dispositivos de almacenamiento (como memorias y discos duros) que son utilizables mediante puertos USB. Y puesto que prácticamente todos los ordenadores tienen puertos USB, la información de la empresa (tanto la que está en el disco local del ordenador como la que está en los servidores de ficheros y en la intranet) corre el riesgo de acabar en uno de esos dispositivos.

La empresa Securewave, cuyos productos distribuye mi empresa Albalia Interactiva ha creado diferentes aplicaciones de seguridad, de las que la más interesante, para atajar el problema que he descrito, es Sancturay Device Control.

Sancturay Device Control es una aplicación ligera que se instala en cada ordenador de la organización y controla los diferentes dispositivos que se le conectan y la información que entra y sale por ellos.

Se gestiona centralizadamente en entornos de red Microsoft que dispongan de Active Directory y permite dar permisos de acceso a periféricos (CD, DVD, Floppy, memory sticks ..) relacionados con grupos de usuarios o de máquinas.

Estos permisos de acceso pueden ser del tipo escritura, lectura o temporales, e incluso en relación con la cantidad máxima de información que se puede insertar o extraer de ellos diariamente. Para usuarios cuyo perfil deba permitir que no se impongan limitaciones, el sistema permite controlar la natiraleza exacta de los ficheros que entran y salen de los dispositivos.

Esta herramienta, de muy bajo coste unitario por licencia (menos de 100 euros, aunque depende del número de unidades adquiridas en una determinada instalación) es una ayuda esencial para poder dar cumplimiento a algunas de las obligaciones de la LOPD que eran muy difíciles de satisfacer hasta fechas recientes.

Esquema de Certificación de Prestadores de Servicios de Certificación (PSC)

7 respuestas

Anteayer tuve la satisfacción de presidir la reunión plenaria del Esquema de Certificación de PSC desarrollado por ASIMELEC.

Este esquema (Proyecto Bitácora) ha merecido el apoyo del Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2004-2007.

Supone el sistema más elaborado existente en España para el cumplimiento de lo previsto en el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica:

Artículo 11 . Notificación

1. Los Estados miembros interesados notificarán a la Comisión y a los demás Estados miembros lo siguiente:

a) información sobre los sistemas voluntarios de acreditación de ámbito nacional, incluidos cualesquiera requisitos adicionales con arreglo al apartado 7 del artículo 3;

b) el nombre y dirección de los organismos nacionales competentes en materia de acreditación y supervisión, así como de los organismos a que se refiere el apartado 4 del artículo 3; y

c) el nombre y dirección de todos los proveedores nacionales de servicios de certificación acreditados.

2. Toda la información facilitada en virtud del apartado 1 y cualquier modificación de su contenido serán notificadas por los Estados miembros a la mayor brevedad.

El servicio de información del artículo 11 ya se ha actualizado desde la última vez que hablé de este tema. Esta es la información que (¡por fin!) figura sobre España:

SPAIN

a) information on national voluntary accreditation schemes, including any additional requirements pursuant to Article 3(7):

Spain has no national governmental voluntary accreditation schemes.

Nonetheless, there is a private initiative of a voluntary accreditation scheme managed by the «Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones» (ASIMELEC – www.asimelec.es)

The Spanish Law on electronic signatures implements article 3(7) of the Directive. Therefore, Public Administrations may impose additional requirements accordingly.

b) the names and addresses of the national bodies responsible for accreditation and supervision as well as of the bodies referred to in Article 3(4):

– Body responsible for supervision:

Ministry of Industry, Tourism and Commerce. http://www.mityc.es (Spanish/English)

– Accreditation body:

NA

– Certification bodies: In process of being designated: National Cryptology Centre – National Intelligence Centre. http://www.oc.ccn.cni.es/index_en.html

c) the names and addresses of all accredited national certification service providers:

The certification service providers which have notified (not accredited) their activities in Spain at the present moment are listed in the following URL:

http://www11.mityc.es/prestadores/busquedaPrestadores.jsp (Spanish)

Creo que este es un gran espaldarazo para el esquema y pronto se conocerán otros de igual o de mayor calado.

Entre las decisiones adoptadas en la reunión a la que me refiero, cabe señalar la aprobación de las tarifas de obtención del sello de calidad de ASIMELEC para PSC, para lo que queda de 2006 y para el 2007, que hacen que la propuesta sea muy atractiva para los prestadores de servicios de certificación que hasta la fecha se hubieran auditado bajo las especificaciones de Webtrust for CAs.

Avanzo los principales valores:

Primera certificación (válida por 2 años):
- Certificado normalizado: 6.000 euros
- Certificado reconocido: 12.000 euros
Certificaciones sucesivas (por renovación o cambio de alcance, validez 2 años):
- Certificado normalizado: 3.000 euros
- Certificado reconocido: 6.000 euros

El pago puede fraccionarse en los 2 años de vigencia del sello de calidad, aunque debe tenerse en cuenta que el mantenimiento del sello tiene un coste, el segundo año, del 20% del coste de la certificación sucesiva (lo que en el certificado normalizado equivale a un coste anual de 1.800 euros).

Además de acreditar las buenas prácticas adoptadas por el PSC, el sello aporta otras ventajas:

Facilita la inclusión de las Autoridades de Certificación (CAs) raiz del PSC en los productos de Microsoft.
Reduce el coste del Seguro Obligatorio de PSC
Facilita la aceptación del PSC ante las Administraciones Públicas.

ASIMELEC tiene previsto un mecanismo de apoyo para la adopción del sello que lo hace aún más interesante.

Todo es electrónico

Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital