Archivo de la categoría: Compliance

INTECO difunde lo perfiles de protección Common Criteria del DNI electrónico

2 respuestas

ccra_logoEl Instituto Nacional de Tecnologías de la Comunicación (Inteco) difunde. con el apoyo del Centro Criptológico Nacional del Centro Nacional de Inteligencia, la certificación de seguridad de los perfiles de protección del DNI electrónico, cuatro documentos que recogen los requisitos técnicos esenciales para el desarrollo seguro y uso de aplicaciones del DNIe, en el marco de Common Criteria, ISO 15408.

Dichos perfiles han sido certificados con fecha del 23 de febrero y publicados en el Boletín Oficial del Estado (BOE) del 14 de abril, con lo que están disponibles para su uso por desarrolladores de aplicaciones certificables en el entorno del DNIe.

Actualmente más de diez millones de ciudadanos españoles disponen de esta tarjeta de identificación electrónica que contiene en su «chip» los mecanismos necesarios para permitir acreditar la identidad y llevar a cabo la firma electrónica de los ciudadanos por medios electrónicos.

Los requisitos técnicos, elaborados por Inteco en una encomienda de gestión del Ministerio de Industria, Turismo y Comercio, a través de Red.es, se reconocen internacionalmente como Perfiles de Protección o ‘Protection Profiles’ y en ellos se recogen los requisitos de seguridad estándar según la normativa internacional de referencia Common Criteria, que consiste en  un marco normativo aprobado como estándar internacional por ISO (CCv3.1) en 1999.

Entre las principales ventajas que se obtienen de la certificación de estos perfiles de protección se encuentra la posibilidad por parte de los usuarios de disponer de aplicaciones seguras y certificadas para el uso del DNIe como dispositivo de firma electrónica, lo que fortalece su confianza en este dispositivo en los trámites electrónicos con la administración o con el sector privado. En particular cumplir el requisito que impone el certificado de firma del DNI electrónico respecto al «content commitment», lo que significa que la aplicación informática de firma electrrónica debe cerciorarse de que «lo que se ve es lo que se firma» («what you see is what you sign»).

Del mismo modo, la industria desarrolladora de aplicaciones tendrá a su disposición los medios para diseñar, certificar y comercializar servicios seguros bajo una normativa o estándar reconocido.

Por otra parte, para garantizar la protección del usuario en la utilización del DNIe, en el grupo de expertos para la elaboración de estos perfiles de protección han estado representados la Dirección General de la Policía, la Agencia Española de Protección de Datos, el Centro Criptológico Nacional y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, así como las principales asociaciones de la industria española, como ASIMELEC.

Inteco, mediante un laboratorio acreditado (Epoche & Espri), ha elaborado cuatro documentos de perfiles de protección para aplicaciones de creación y verificación de firma electrónica con el DNIe: dos para plataformas TDT, PDA y dispositivos móviles y otros dos para ordenadores personales con sistemas operativos de propósito general.

Para cada entorno se han certificado (a través de LGAI-Applus), a su vez, dos perfiles para que el desarrollador pueda optar a dos niveles de garantía de seguridad diferentes en cuanto a su certificación, denominados EAL1 y EAL3. El primero está dirigido a todo tipo de desarrollos, mientras que el segundo está diseñado para aquellos desarrollos que quieran obtener un nivel superior de garantía de seguridad.

Con la intención de facilitar a los desarrolladores y a la industria en general la adopción de estos perfiles de protección, como referente para el diseño y desarrollo de sus aplicaciones de firma con el DNIe, el Instituto Nacional de Tecnologías de la Comunicación ha elaborado unas guías para la aplicación de los perfiles de protección en la elaboración de aplicaciones certificables de creación y verificación de firma con DNI electrónico.

Adicionalmente, el próximo día 20 de abril, Inteco presentará en su sede de León los perfiles de protección, conjuntamente con las guías de aplicación a la industria, las asociaciones sectoriales y a todos los desarrolladores interesados en estos documentos, su contenido y su aplicación.

 Estos perfiles, denominados técnicamente como PPSCVA-T1-EAL1, PPSCVA-T1-EAL3, PPSCVA-T2-EAL1 y PPSCVA-T2-EAL3, además de impulsar el desarrollo de aplicaciones seguras en el entorno del DNIe, son las herramientas básicas para difundir la cultura de la certificación entre desarrolladores y la cultura en el uso de herramientas seguras entre los usuarios de estas aplicaciones. Dichas guías y perfiles de protección estarán disponibles en la página web de la entidad: www.inteco.es y en la del Organismo de Certificación del Centro Criptológico Nacional.

Obligatoriedad de la facturación electrónica

10 respuestas

Hace algo más de un año explicaba mi opinión de que la facturación electrónica era obligatoria desde el 1 de mayo de 2008. O desde el 1 de agosto de 2008 si los 3 meses de plazo para la obligatoriedad los contamos desde la entrada en vigor de la Ley 30/2007 en vez de la de la Orden PRE/2971/2007.

Algunos comentarios apuntaban a que quizá habría más desarrollos legislativos en un año, lo que justificaría dar ese margen adicional a la obligatoriedad. Pues bien, ya han transcurrido 11 meses y no se ha publicado ninguna norma adicional. Por un motivo muy sencillo. No es necesario. Porque la orden PRE/2971/2007 ya contiene lo que según la Ley 30/2007 permite la facturación electrónica al sector público.

Por las mismas fechas publiqué varios post en el mismo sentido:

Qué empresas deben facturar electrónicamente

Para qué empresas no es obligatoria la Factura Electrónica

y otros de temática afín:

Nuevas obligaciones tributarias. Real Decreto 1065/2007, de 27 de julio,

Nuevas obligaciones tributarias. Orden EHA/3435/2007, de 23 de noviembre

Hoy me reafirmo en que la mayor parte de los organismos de la AGE están incumpliendo la Ley 30/2007 de Contratos del Sector Público en este específico aspecto, y obligan a incumplirlo a las empresas igualmente obligadas.

Y lo triste es que tampoco lo van a cumplir desde el 1 de mayo de 2009.

Actualización.

Parece que mis «post» han sido fuente de inspiración (aunque con diferentes conclusiones) para Xperimentos. Estaría bien que citaran la fuente. Ya me voy fijando que Xperimentos unas veces cita la fuente y otras no.

Proyecto de Ley de Servicios de Pago

Deja un comentario

En el Consejo de Ministros de ayer viernes, 3 de abril de 2009, se aprobó la remisión a las Cortes del Proyecto de Ley de Servicios de Pago. Enmarca los desarrollos SEPA a los que hemos hecho referencia en este blog.

Single Euro Payment AreaGarantiza seguridad, eficiencia y facilidad en las operaciones de pago realizadas en el ámbito de la Unión Europea.

Refuerza los derechos y la protección de los usuarios de este tipo de servicios financieros.

El Consejo de Ministros ha aprobado la remisión a las Cortes Generales del Proyecto de Ley de Servicios de Pago, por el que se transpone a la normativa española la Directiva comunitaria de 2007/64/CE  sobre servicios de pago en el mercado interior.

Esta norma garantiza que los pagos realizados en el ámbito de la Unión Europea, en concreto las transferencias, los adeudos directos y las operaciones de pago efectuadas mediante tarjeta, puedan realizarse con la misma facilidad, eficiencia y seguridad que los pagos nacionales internos de los Estados miembros.

Tras la entrada en vigor de la nueva regulación en los veintisiete Estados miembros, el cumplimiento de tales objetivos propiciará que los usuarios de servicios de pago se beneficien, entre otras, de las siguientes novedades:

  • La posibilidad de realizar más sencilla, segura y eficientemente transferencias transfronterizas, incluyendo adeudos.
  • La posibilidad de utilizar tarjetas de débito en cualquier otro Estado.
  • La posibilidad de operar con una sola cuenta corriente en todo el territorio, sin necesidad de abrir una nueva cuenta corriente si se desplazan a otro Estado por motivos laborales, de estudios, etcétera.
  • La mayor rapidez de los pagos, de manera que el beneficiario dispondrá de los fondos como muy tarde el día siguiente al de la realización de la transferencia.
  • La disposición de mayores niveles de protección y de mejor información, como por ejemplo la relativa a los gastos aplicados, el establecimiento de reglas más claras sobre el reembolso en caso de transacciones mal ejecutadas o la reducción o eliminación total de su responsabilidad en caso de pérdida o robo de un instrumento de pago.
  • La regulación de los gastos aplicables. En toda prestación de servicios de pago que no incluya una conversión en divisas, los gastos serán compartidos entre ordenante y beneficiario. Se trata de la cláusula “share”, novedosa en el ordenamiento jurídico español, ya que hasta el momento los gastos corren íntegramente de cuenta del ordenante.

Determinación de los servicios de pago y de los proveedores autorizados

Entre los servicios de pago regulados, el Proyecto de Ley establece la ejecución de transferencias, la ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar y la ejecución de los adeudos domiciliados, y extiende su ámbito a otros servicios de pago tales como la emisión y adquisición de instrumentos de pago o el envío de dinero.

En definitiva, la prestación de cualquiera de los servicios de pago enumerados y regulados por el Proyecto de Ley queda prohibida a cualquier persona física o jurídica que no tenga la condición de proveedor de servicios de pago.

Régimen jurídico de las entidades de pago

La norma establece un nuevo tipo de entidades autorizadas para la prestación y ejecución de los servicios de pago regulado por la Directiva, las entidades de pago, y configura el régimen jurídico de esta nueva categoría de entidades.

Entre los aspectos sustanciales del régimen jurídico, las entidades estarán sujetas a una autorización administrativa, que será concedida por el Ministro de Economía y Hacienda con los preceptivos informes del Banco de España y del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC). Se establecen, igualmente, los requisitos de capital inicial y recursos propios, el listado de actividades que pueden realizar y los requisitos de garantía previstos para la salvaguarda de los fondos recibidos para la ejecución de las operaciones de pago.

Además, el Proyecto completa el régimen jurídico de las entidades de pago con las oportunas disposiciones referidas al ejercicio del derecho de establecimiento y la libre prestación de servicios dentro de la Unión Europea, a la utilización de agentes y delegación de funciones, a la contabilidad y auditoría, y al ejercicio de la función supervisora del Banco de España en términos similares a los previstos por la legislación vigente para las entidades de crédito.

Transparencia de los servicios de pago

Con objeto de garantizar la adecuada protección de los usuarios de servicios de pago, el nuevo texto incluye un conjunto de obligaciones de información (sobre los costes de las operaciones, la fecha de recepción de la orden de pago, el importe de la operación, etcétera) que el proveedor de un servicio de pago habrá de suministrar a los usuarios de dichos servicios, ya se trate de operaciones de pago singulares o de operaciones de pago reguladas por un contrato marco.

Los proveedores de servicios de pago quedarán obligados a facilitar de manera gratuita la información que en relación con la prestación de servicios de pago se determine reglamentariamente. El proveedor tan sólo podrá cobrar por información adicional o más frecuente, y, en todo caso, de manera proporcionada a los costes efectivamente soportados.

Derechos y obligaciones derivados de la prestación y utilización de los servicios de pago

Para la protección de los derechos de los clientes de servicios financieros, el Proyecto de Ley incluye un amplio conjunto de derechos y obligaciones derivados de la relación contractual entre el prestador del servicio de pago y el usuario de un servicio.

Asimismo, incide en el buen uso de los instrumentos de pago, incrementa de manera notable el nivel de protección de los usuarios, tanto a nivel general como en relación con cada uno de los aspectos sustanciales de la relación contractual previstos, es decir, los relativos a los gastos aplicables, la autorización de operaciones de pago y la ejecución de órdenes de pago.

Por último, el Proyecto se refiere a los gastos aplicables. Se prevé que en toda prestación de servicios de pago que no incluya una conversión en divisas los gastos serán compartidos entre ordenante y beneficiario. De nuevo, se trata de la conocida como cláusula “share” , novedosa en nuestro ordenamiento jurídico, ya que hasta el momento los gastos corren íntegramente de cuenta del ordenante.

Blanqueo de Capitales

Deja un comentario

Ya hace algún tiempo participé en uno de estas conferencias organizadas por IFAES.

La de este año (2009)  lleva por título: CUÁLES SON LOS MECANISMOS DE PREVENCIÓN Y CONTROL PARA COMBATIR EL BLANQUEO DE CAPITALES.

Se celebra del 25 al 26 de Marzo de 2009 en el Hotel Meliá Madrid Princesa.

Este es el folleto.Y esta es la página de inscripción.

Y este es el programa:

PRIMER DIA
09.00 Recepción de los Asistentes y entrega de la documentación

09.20 Apertura de la Sesión por el Presidente de la Jornada

09.30 Cuáles son los objetivos de la actual legislación sobre el blanqueo de capitales

  • Cuál es el marco normativo actual
  • Qué medidas se pueden establecer contra el blanqueo de capitales: medidas preventivas y medidas represivas
  • Cuáles son las principales vías de colaboración para detectar e investigar operaciones de blanqueo de capitales
  • Cuál es el impacto de la III Directiva Comunitaria sobre Blanqueo de Capitales
  • Qué nuevos delitos quedan tipifi cados en la normativa
  • Sujetos obligados
  • Cuál es la distinción entre los conceptos diligencia debida, reforzada y simplificada
  • Principales características que deben recoger los sistemas de control interno de operaciones sospechosas
  • Nuevas tendencias regulatorias

D. Luis Manuel Rubí Blanc
SOCIO DIRECTOR
RUBÍ BLANC ABOGADOS

10.30 Qué obligaciones establece la ley de cara a luchar contra el blanqueo de capitales

  • Quiénes son los sujetos obligados a colaborar en materia de prevención de blanqueo de capitales
  • Principales obligaciones en la lucha contra el blanqueo de capitales
  • Identificación de clientes
  • Conservación de documentos
  • Comunicación de operaciones sospechosas
  • eporting sistemático
  • Sistemas especializados de control interno
  • En qué consiste el régimen de colaboración de autoridades, funcionarios y otros organismos de supervisión

Dña. Raquel Cabeza Pérez
CONSEJERO TÉCNICO
SUBDIRECCIÓN GENERAL DE INSPECCIÓN Y CONTROL DE MOVIMIENTOS DE CAPITALES
Dirección del Tesoro y Política Financiera
MINISTERIO ECONOMÍA Y HACIENDA

11.30 Pausa café

12.00 Cuáles son los principales mecanismos que difi cultan la acción blanqueadora y facilitan información útil para posteriores investigaciones judiciales

  • Comunicación de operaciones sospechosas
  • Qué tipo de operaciones deben comunicarse
  • Cómo detectar si una operación presenta indicios o sospechas de estar relacionada con el blanqueo de dinero
  • Cómo informar al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales
  • Reporting Sistemático
  • Qué operaciones deben ser siempre comunicadas
  • Periodicidad del Reporting
  • Excepciones a la obligación de comunicación
  • Qué tipos de sanciones se aplican ante los incumplimientos

D. Carlos Sáiz Díaz
SOCIO
GOMEZ ACEBO & POMBO

13.00 Cómo deben actuar las Entidades Financieras para cumplir con las exigencias de lucha contra el blanqueo de capitales

  • Que papel debe asumir la Alta Dirección
  • Cuál es el coste del cumplimiento de la normativa legal
  • Cuáles son los pasos a seguir para detectar y demostrar una operación fraudulenta
  • Cómo implementar mecanismos internos de control para la detección y prevención del blanqueo
  • Qué riesgos afrontan las entidades fi nancieras al ser empleadas como instrumentos para el blanqueo de capitales: riesgos reputacionales, riesgos legales y riesgos operacionales
  • Cómo afronta la Banca estos cambios de adaptación a las nuevas exigencias legales

D. Manuel Domínguez Mayán
DIRECTOR AUDITORÍA SUCURSALES PONTEVEDRA
CAIXANOVA

14.00 Almuerzo

15.30 Qué mecanismos internos de control pueden implantar las Entidades Financieras para prevenir el blanqueo de capitales

  • La elaboración de un manual de procedimientos y mecanismos internos de control
  • Etapas a tener en cuenta a la hora de establecer los mecanismos internos de control: apertura de cuenta, conocimiento del cliente, monitorización, surveillance
  • Creación de equipos de revisión interna
  • Verificación de los procedimientos
  • Puesta en marcha de órganos internos de prevención del blanqueo
  • Responsabilidad compartida
  • La gestión y control de las cuentas de clientes en países de Alto Riesgo
  • uál es la operativa de los Paraísos Fiscales y países de Alto Riesgo
  • Qué tipo de monitorización se puede realizar en las cuentas Offshore

Dña. Pilar López-Aranguren Velarde
EXECUTIVE DIRECTOR
COMPLIANCE
GOLDMAN SACHS GESTIÓN SGIIC SA

16.30 Cómo desarrollar y establecer políticas y procedimientos de identificación de clientes (KYC)

  • Cómo elaborar el perfi l de cliente
  • ué documentación se debe solicitar y cómo se deben validar dichos documentos
  • Personas físicas vs. personas jurídicas
  • Clientes establecidos vs. clientes ocasionales
  • Cómo defi nir estrategias para controlar con más precisión sus movimientos de capitales y las transacciones económicas
  • Qué novedades introduce la Directiva 2006/70/CE en relación a la identifi cación de clientes PEP’s (PPE:“Persona Políticamente Expuesta”)
  • Diferencias entre Directiva 2006/70/CE y la legislación española
  • Por qué la clasificación como PEP’s aumenta el perfi l de riesgo de un cliente
  • Qué tipo de seguimiento de actividad de las cuentas de los PEP’s se debe realizar
  • Cómo mitigar el riesgo reputacional gestionando la identifi cación de los PEP’s mediante la implantación de un sistema efi caz y fi able

D. Pablo Bernad Ramoneda
SOCIO RESPONSABLE DE FORENSIC EN EUROPA, ORIENTE MEDIO Y ÁFRICA (EMA)
KPMG

17.30 La colaboración internacional contra el blanqueo de capitales

  • Principales recomendaciones del Grupo de Acción Financiera Internacional
  • Qué impacto tienen estas recomendaciones en el sector financiero
  • Cuáles son los principales incumplimientos que se detectan
  • Comparativa con otros países
  • Principios de Wolfsberg Antiblanqueo para la prevención del blanqueo de dinero
  • Cómo diseñar, implementar y controlar un programa Anti-Money Laundering (AML) a nivel internacional que cumpla con los requisitos y regulaciones de los distintos países

D. Javier Odriozola Villanueva
RESPONSABLE DE LA LÍNEA DE SERVICIOS DE PREVENCIÓN DE BLANQUEO DE CAPITALES
SOCIO
DELOITTE

18.30 Fin de la Jornada

SEGUNDO DIA

09.00 Recepción de los Asistentes

09.20 Apertura de la Sesión por el Presidente de la Jornada

09.30 Cómo actúan los Cuerpos de Seguridad del Estado en la lucha contra el blanqueo de capitales

  • Cuáles son las principales estrategias de blanqueo de capitales
  • Cuáles son los delitos previos base de la actividad blanqueadora: terrorismo, narcotráfi co, tráfi co de armas, prostitución, etc.
  • Qué instrumentos son utilizados para dar legitimidad o legalidad a estos bienes o activos de origen delictivo
  • Cómo descubrir el perfi l del blanqueador
  • Objetivos policiales de las investigaciones por blanqueo: decomiso, embargo de bienes de procedencia ilícita. Ventajas e inconvenientes.

D. Pedro Merino Castro

COMANDANTE
Unidad Técnica de Policía Judicial
GUARDIA CIVIL

10.30 La importancia del informe de revisión del experto externo sobre el sistema de prevención del blanqueo de capitales

  • Cómo ha de realizar el experto externo la revisión para asegurar al sujeto obligado que su informe cumple con los requisitos exigidos y, en consecuencia, que el sujeto obligado cumple con la obligación de someter su sistema de prevención del blanqueo de capitales a la revisión anual
  • Proceso elaboración del informe de experto externo
  • Principales conclusiones de los informes de experto externo realizados

D. Javier González de las Heras
DIRECTOR DEL ÁREA DE AUDITORÍA INTERNA Y GESTIÓN DEL RIESGO
ERNST & YOUNG

11.30 Pausa café

12.00 Transparencia de formas societarias y paraísos fi scales en la prevención del blanqueo de capitales

  • Uso de formas societarias para fi nes ilícitos
  • Los paraísos fi scales y otros mecanismos de elusión
  • Banca Privada, uso de formas societarias y la problemática específi ca de las personas políticamente expuestas (PPE)
  • l riesgo reputacional
  • Los indicadores de transparencia de una sociedad

Dña. Concepción Cornejo García
SUBDIRECTORA GENERAL ADJUNTA DE PREVENCIÓN DEL BLANQUEO DE CAPITALES
Dirección del Tesoro y Política Financiera
MINISTERIO DE ECONOMÍA Y HACIENDA

13.00 La experiencia práctica del Grupo Santander como sujeto obligado

  • Cómo implicar todas las áreas de negocio y niveles de la organización en el diseño, aplicación y supervisión de un sistema adecuado de prevención de blanqueo
  • ¿Es necesaria la creación de órganos específi cos internos de control y comunicación?
  • Qué normas y procedimientos específi cos deben ser tenidos en cuenta en la elaboración de un sistema de control interno
  • Cómo afrontar estas obligaciones con el estricto cumplimiento del deber de confi dencialidad
  • Cómo formar y capacitar a los empleados de la entidad en el programa antiblanqueo
  • Cuáles son las responsabilidades y requisitos legales que deben conocer y asumir
  • Qué empleados deben ser formados en el programa antiblanqueo de la entidad
  • Sobre qué temas deben recibir información

D. Jesús Gómez Gómez

RESPONSABLE DE FORMACIÓN, PREVENCIÓN Y BLANQUEO DE CAPITALES
GRUPO SANTANDER

14.00 Almuerzo

15.30 Régimen sancionador: el marco represivo del blanqueo de capitales

  • Los principios informadores del derecho sancionador administrativo y penal
  • La problemática de la concurrencia e incidencia del procedimiento ante el SEPBLAC con el proceso penal
  • Infracciones administrativas: muy graves y graves
  • Cuáles son las sanciones que se establecen para cada tipo de infracción
  • Prescripción del delito y de las infracciones
  • Procedimiento sancionador y proceso penal: órganos competentes
  • Problemática procesal y probatoria en el delito de blanqueo de capitales
  • La comisión del delito de blanqueo de capitales por imprudencia

D. Santiago Milans del Bosch
SOCIO
CUATRECASAS

16.30 Herramientas de gestión antiblanqueo en banca electrónica

  • Riesgos y oportunidades del entorno Internet
  • Detección de operaciones fraudulentas y sospechas de blanqueo
  • Actuaciones frente al phishing y al pharming
  • Evolución de la delincuencia a través de Internet
  • Firma electrónica
  • Nuevas disposiciones normativas de 2007: Ley 22/2007, Ley 56/2007

D. Julián Inza Aldaz
PRESIDENTE
ALBALIA INTERACTIVA

17.30 Fin de las Jornadas

XAdES/CAdES ETSI Plugtest

12 respuestas

Plug Test LogoAlbalia Interactiva participa una vez más en el juego de pruebas de interoperabilidad XAdES de ETSI (European Telecommunications Standards Institute). Solo dos entidades españolas participan en esta edición de febrero de 2009 frente a las 10 que se inscribieron hace un año.

Existe un informe en el que se recogen los principales resultados del evento de septiembre de 2008. Como se puede comprobar, el nivel de las entidades participantes es muy alto, y entre ellas, Albalia Interactiva obtiene un elevado grado de interoperabilidad e interpretación del estándar. Ver nota de prensa de ETSI.

Las nuevas pruebas se desarrollarán del 16 al 27 de febrero de  2009 y el último dia para inscribirse es el 6 de febrero de 2009.

En esta ocasión, nosotros testaremos nuestras soluciones Backtrust desarrolladas para .net, ya que en la anterior edición probamos bastante exhaustivamente las desarrolladas para entornos java.

Dado el pequeño número de inscritos (la mitad de otras ediciones) las diferentes pruebas deberían desarrollarse con bastante celeridad. Sin embargo, veo que el entorno de pruebas se ha rediseñado por completo y que bastantes de los inscritos figuran por primera vez, por lo que quizá los primeros días serán de «ajuste» entre los participantes.

Grupo «Evidencias Electrónicas» en LinkedIn

3 respuestas

He creado un grupo en «Linked In«especializado en «Evidencias Electrónicas«. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

Normas relativas a la seguridad

Deja un comentario

El Centro Criptológico Nacional es uno de los organismos más relevantes en lo que se refiere a la difusión de los conceptos de seguridad en España.

De su página web extraigo esta interesante lista de normas técnicas de seguridad:

[ISO-11770-3:2008]

ISO/IEC 11770-3:2008, Information technology — Security techniques — Key management — Part 3: Mechanisms using asymmetric techniques, 2008.

[ISO-27005:2008]

ISO/IEC 27005:2008, Information technology — Security techniques — Information security risk management, 2008.

[UNE-71504:2008]

UNE 71504:2008 – Metodología de análisis y gestión de riesgos de los sistemas de información, 2008.

[CCN-STIC-401:2007]

Guías Generales: Glosario y Abreviaturas. Centro Criptológico Nacional, Guía STIC 401 2007.

[ITIL:2007]

ITIL V3 Glossary, 30 May 2007

[NIST-SP800-38D:2007]

Recommendation for Block Cipher Modes of Operation: Galois/Counter, NIST Special Publication 800-38D, Nov 2007.

[NIST-SP800-57:2007]

Recommendation for Key Management – Part 1: General, NIST Special Publication 800-57, March 2007.

[NIST-SP800-94:2007]

Guide to Intrusion Detection and Prevention Systems (IDPS) NIST Special Publication 800-94, February 2007.

[ISO-11568-4:2007]

ISO 11568-4:2007, Banking — Key management (retail) — Part 4: Asymmetric cryptosystems — Key management and life cycle, 2007.

[ISO-21827:2007]

ISO/IEC 21827:2002, Information technology — Systems Security Engineering — Capability Maturity Model (SSE-CMM), 2007.

[RFC4949:2007]

RFC4949, Internet Security Glossary, Version 2, August 2007Each entry is preceded by a character — I, N, O, or D — enclosed in parentheses, to indicate the type of definition (as is explained further in Section 3):

  • «I» for a RECOMMENDED term or definition of Internet origin.
  • «N» if RECOMMENDED but not of Internet origin.
  • «O» for a term or definition that is NOT recommended for use in IDOCs but is something that authors of Internet documents should know about.
  • «D» for a term or definition that is deprecated and SHOULD NOT be used in Internet documents.

.see url:http://www.ietf.org/rfc/rfc4949

[UNE-ISO-27001_es:2007]

UNE-ISO/IEC 27001:2007, Tecnología de la información – Técnicas de seguridad – Sistemas de Gestión de la Seguridad de la Información (SGSI) – Especificaciones (ISO/IEC 27001:2005), 2007.

[BS25999-1:2006]

Business continuity management – Part 1: Code of practice. British Standard BS 25999-1:2006.

[CC:2006]

Common Criteria for Information Technology Security Evaluation, version 3.1, revision 1, September 2006.

  • Part 1 – Introduction and general model
  • Part 2 – Security functional requirements
  • Part 3 – Security assurance requirements

Also published as [ISO/IEC 15408].

[CCN-STIC-001:2006]

Políticas: Seguridad de las TIC en la Administración. Centro Criptológico Nacional, Guía STIC 001, 2006.

[CCN-STIC-002:2006]

Políticas: Definición de Criptología Nacional. Centro Criptológico Nacional, Guía STIC 002, 2006.

[CCN-STIC-003:2006]

Políticas: Uso Cifradores Certificados. Centro Criptológico Nacional, Guía STIC 003, 2006.

[CCN-STIC-103:2006]

Procedimientos: Catálogo de Productos con Certificación Criptológica Centro Criptológico Nacional, Guía STIC 103, 2006.

[CCN-STIC-150:2006]

Procedimientos: Evaluación y Clasificación Tempest de Cifradores con Certificación Criptológica. Centro Criptológico Nacional, Guía STIC 150 2006.

[CCN-STIC-151:2006]

Procedimientos: Evaluacin y Clasificacin Tempest de Equipos. Centro Criptológico Nacional, Guía STIC 151 2006.

[CCN-STIC-152:2006]

Procedimientos: Evaluacin y Clasificacin Zoning de Locales. Centro Criptológico Nacional, Guía STIC 152 2006.

[CCN-STIC-201:2006]

Normas: Organización y Gestión STIC. Centro Criptológico Nacional, Guía STIC 201 2006.

[CCN-STIC-202:2006]

Normas: Estructura y Contenido DRS. Centro Criptológico Nacional, Guía STIC 202 2006.

[CCN-STIC-203:2006]

Normas: Estructura y Contenido POS. Centro Criptológico Nacional, Guía STIC 203 2006.

[CCN-STIC-204:2006]

Normas: CO-DRS-POS Formulario Centro Criptológico Nacional, Guía STIC 204 2006.

[CCN-STIC-207:2006]

Normas: Estructura y Contenido del Concepto de Operación de Seguridad (COS). Centro Criptológico Nacional, Guía STIC 207 2006.

[CCN-STIC-301:2006]

Instrucciones Técnicas: Requisitos STIC. Centro Criptológico Nacional, Guía STIC 301 2006.

[CCN-STIC-302:2006]

Instrucciones Técnicas: Interconexión de CIS. Centro Criptológico Nacional, Guía STIC 302 2006.

[CCN-STIC-303:2006]

Instrucciones Técnicas: Inspección STIC. Centro Criptológico Nacional, Guía STIC 303 2006.

[CCN-STIC-400:2006]

Guías Generales: Manual de Seguridad de las TIC. Centro Criptológico Nacional, Guía STIC 400 2006.

[CCN-STIC-403:2006]

Guías Generales: Gestión de Incidentes de Seguridad. Centro Criptológico Nacional, Guía STIC 403 2006.

[CCN-STIC-404:2006]

Guías Generales: Control de Soportes Informáticos. Centro Criptológico Nacional, Guía STIC 404 2006.

[CCN-STIC-405:2006]

Guías Generales: Algoritmos y Parmetros de Firma Electrnica Centro Criptológico Nacional, Guía STIC 405 2006.

[CCN-STIC-406:2006]

Guías Generales: Seguridad de Redes Inalámbricas. Centro Criptológico Nacional, Guía STIC 406 2006.

[CCN-STIC-407:2006]

Guías Generales: Seguridad de Telefonía Móvil. Centro Criptológico Nacional, Guía STIC 407 2006.

[CCN-STIC-408:2006]

Guías Generales: Seguridad Perimetral – Cortafuegos. Centro Criptológico Nacional, Guía STIC 408 2006.

[CCN-STIC-414:2006]

Guías Generales: Seguridad en Voz sobre IP. Centro Criptológico Nacional, Guía STIC 414 2006.

[CCN-STIC-430:2006]

Guías Generales: Herramientas de Seguridad. Centro Criptológico Nacional, Guía STIC 430 2006.

[CCN-STIC-431:2006]

Guías Generales: Herramientas de Análisis de Vulnerabilidades. Centro Criptológico Nacional, Guía STIC 431 2006.

[CCN-STIC-432:2006]

Guías Generales: Seguridad Perimetral – Detección de Intrusos. Centro Criptológico Nacional, Guía STIC 432 2006.

[CCN-STIC-435:2006]

Guías Generales: Herramientas de Monitorización de Tráfico en Red. Centro Criptológico Nacional, Guía STIC 435 2006.

[CCN-STIC-512:2006]

Guías para Entornos Windows: Gestin de Actualizaciones de Seguridad en Sistemas Windows. Centro Criptológico Nacional, Guía STIC 512 2006.

[CCN-STIC-611:2006]

Guías para otros entornos: Configuración Segura (SuSE Linux). Centro Criptológico Nacional, Guía STIC 611 2006.

[CCN-STIC-612:2006]

Guías para otros entornos: Configuración Segura (Debian). Centro Criptológico Nacional, Guía STIC 612 2006.

[CCN-STIC-614:2006]

Guías para otros entornos: Configuración Segura (RedHat Enterprise AS 4 y Fedora). Centro Criptológico Nacional, Guía STIC 614 2006.

[CCN-STIC-641:2006]

Guías para otros entornos: Plantilla configuracin segura Routers CISCO. Centro Criptológico Nacional, Guía STIC 641 2006.

[CCN-STIC-642:2006]

Guías para otros entornos: Configuracin Segura (Switches Enterasys). Centro Criptológico Nacional, Guía STIC 642 2006.

[CCN-STIC-671:2006]

Guías para otros entornos: Configuracin Segura (Servidor Web Apache). Centro Criptológico Nacional, Guía STIC 671 2006.

[CCN-STIC-903:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 903 2006.

[CCN-STIC-951:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 951 2006.

[CCN-STIC-952:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 952 2006.

[CEM:2006]

Common Evaluation Methodology, version 3.1, revision 1, September 2006. Also published as [ISO/IEC 18405].

[CNSS-4009:2006]

NATIONAL INFORMATION ASSURANCE (IA) GLOSSARY. Committee on National Security Systems. CNSS Instruction No. 4009. Revised June 2006.

[COBIT:2006]

CobiT – Control Objectives, Management Guidelines, Maturity Models. IT Gobernance Institute. Version 4.0, 2006.

[FIPS-200:2006]

FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, March 2006.

[NIST7298:2006]

NIST IR 7298 Glossary of Key Information Security Terms, April 25, 2006.

[NIST-SP800-53:2006]

Recommended Security Controls for Federal Information Systems, NIST Special Publication 800-53, December 2006.

[NIST-SP800-88:2006]

Guidelines for Media Sanitization, NIST Special Publication 800-88, September 2006.

[NIST-SP800-100:2006]

Information Security Handbook: A Guide for Managers, NIST Special Publication 800-100, October 2006.

[ISO-11770-4:2006]

ISO/IEC 11770-4:2006, Information technology — Security techniques — Key management — Part 4: Mechanisms based on weak secrets, 2006.

[ISO-14888-3:2006]

ISO/IEC 14888-3:2006, Information technology — Security techniques — Digital signatures with appendix — Part 3: Discrete logarithm based mechanisms, 2006.

[ISO-18028-1:2006]

ISO/IEC 18028-1:2006, Information technology — Security techniques — IT network security — Part 1: Network security management, 2006.

[ISO-18028-2:2006]

ISO/IEC 18028-2:2006, Information technology — Security techniques — IT network security — Part 1: Network security architecture, 2006.

[ISO-18028-5:2006]

ISO/IEC 18028-5:2006, Information technology — Security techniques — IT network security — Part 5: Securing communications across networks using virtual private networks, 2006.

[ISO-18033-2:2006]

ISO/IEC 18033-2:2006, Information technology — Security techniques — Encryption algorithms — Part 2: Asymmetric ciphers 2006.

[ISO-18043:2006]

ISO/IEC 18043:2006, Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems. 2006.

[ISO-19790:2006]

ISO/IEC 19790:2006, Information technology — Security techniques — Security requirements for cryptographic modules. 2006.

[CCN-STIC-101:2005]

Procedimientos: Procedimiento de Acreditacin Nacional. Centro Criptológico Nacional, Guía STIC 101, 2005.

[EBIOS:2005]

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité

[NIST-SP800-38B:2005]

Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, NIST Special Publication 800-38B, May 2005.

[NIST-SP800-77:2005]

Guide to IPsec VPNs NIST Special Publication 800-77, December 2005.

[NIST-SP800-83:2005]

Guide to Malware Incident Prevention and Handling, NIST Special Publication 800-83, November 2005.

[ISO-11568:2005]

ISO 11568-1:2005, Banking — Key management (retail) — Part 1: Principles, 2005.

[ISO-11568-2:2005]

ISO 11568-2:2005, Banking — Key management (retail) — Part 2: Symmetric ciphers, their key management and life cycle, 2005.

[ISO-15443-1:2005]

ISO/IEC TR 15443:2005, Information technology — Security techniques — A framework for IT security assurance — Part 1: Overview and framework, 2005.

[ISO-17799:2005]

ISO/IEC 17799:2005, Information technology — Code of practice for information security management, 2005.

[ISO-18028-3:2005]

ISO/IEC 18028-3:2005, Information technology — Security techniques — IT network security — Part 3: Securing communications between networks using security gateways , 2005.

[ISO-18028-4:2005]

ISO/IEC 18028-4:2005, Information technology — Security techniques — IT network security — Part 4: Securing remote access, 2005.

[ISO-18031:2005]

ISO/IEC 18031:2005, Information technology — Security techniques — Random bit generation, 2005.

[ISO-18033-1:2005]

ISO/IEC 18033-1:2005, Information technology — Security techniques — Encryption algorithms — Part 1: General, 2005.

[ISO-18033-3:2005]

ISO/IEC 18033-3:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers 2005.

[ISO-18033-4:2005]

ISO/IEC 18033-4:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Stream ciphers 2005.

[ISO-27001:2005]

ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements, 2005.

[H.235:2005]

ITU-T H.235, Implementors Guide for H.235 V3: Security and encryption for H-series (H.323 and other H.245- based) multimedia terminals. (5 August 2005).

[X.509:2005]

ITU-T X.509, ISI/IEC 9594-8, Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks. 08/2005.

[Magerit-v2:2005]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 2.0, 2005.

[UNE-Guide73_es:2005]

Gestión del riesgo — Vocabulario — Directrices para la utilización en las normas, 2005.

[FIPS-199:2004]

FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004..

[NIST-SP800-27:2004]

Engineering Principles for Information Technology Security (A Baseline for Achieving Security), NIST Special Publication 800-27 Rev. A, June 2004.

[NIST-SP800-37:2004]

Guide for the Security Certification and Accreditation of Federal Information Systems, NIST Special Publication 800-37, May 2004.

[NIST-SP800-38C:2004]

Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality, NIST Special Publication 800-38C, May 2004.

[NIST-SP800-60V2:2004]

Volume II: Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories, NIST Special Publication 800-60, June 2004.

[NIST-SP800-61:2004]

Computer Security Incident Handling Guide, NIST Special Publication 800-61, January 2004.

[ISO-9798-5:2004]

ISO/IEC 9798-5:2004, Information technology — Security techniques — Entity authentication — Part 5: Mechanisms using zero-knowledge techniques, 2004.

[ISO-10118-3:2004]

ISO/IEC 10118-3:2004 Information technology — Security techniques — Hash-functions — Part 3: Dedicated hash-functions, 2004.

[ISO-13335-1:2004]

ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management, 2004.

[ISO-13888-1:2004]

ISO/IEC 13888-1:2004, IT security techniques — Non-repudiation — Part 1: General, 2004.

[ISO-15946-4:2004]

ISO/IEC 15946-4:2004 Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 4: Digital signatures giving message recovery, 2004.

[ISO-18044:2004]

ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management, 2004.

[UNE-71502:2004]

UNE 71502:2004, Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), 2004.

[CRAMM:2003]

CCTA Risk Analysis and Management Method (CRAMM), Version 5.0, 2003.

[NIST-SP800-55:2003]

Security Metrics Guide for Information Technology Systems, NIST Special Publication 800-55, July 2003.

[ISO-15782-1:2003]

ISO 15782-1:2003, Certificate management for financial services — Part 1: Public key certificates, 2003.

[X.805:2003]

ITU-T X.805, Security architecture for systems providing end-to-end communications, (10/03).

[Ley-59:2003]

Ley 59/2003, de 19 de diciembre, de firma electrónica.

[Octave:2003]

C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003.

[TDIR:2003]

Texas Department of Information Resources, Practices for Protecting Information Resources Assets, Revised September 2003.

[NIST-SP800-34:2002]

Contingency Planning Guide for Information Technology Systems, NIST Special Publication 800-34, June 2002.

[ISO-Guide73:2002]

Risk management — Vocabulary — Guidelines for use in standards, 2002.

[ISO-8825-1:2002]

ISO/IEC 8825-1:2002, Information technology — ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER), 2002.

[ISO-9796-2:2002]

ISO/IEC 9796-2:2002, Information technology — Security techniques — Digital signature schemes giving message recovery — Part 2: Integer factorization based mechanisms, 2002.

[ISO-14516:2002]

ISO/IEC TR 14516:2002, Information technology — Security techniques — Guidelines for the use and management of Trusted Third Party services, 2002.

[ISO-15816:2002]

ISO/IEC 15816:2002, Information technology — Security techniques — Security information objects for access control, 2002.

[ISO-15939:2002]

ISO/IEC 15939:2002, Software engineering — Software measurement process, 2002.

[ISO-15945:2002]

ISO/IEC 15945:2002, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures, 2002.

[ISO-15946-1:2002]

ISO/IEC 15946-1:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 1: General, 2002.

[ISO-15946-2:2002]

ISO/IEC 15946-2:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 2: Digital signatures, 2002.

[ISO-15946-3:2002]

ISO/IEC 15946-3:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 3: Key establishment, 2002.

[ISO-15947:2002]

ISO/IEC TR 15947:2002, Information technology — Security techniques — IT intrusion detection framework, 2002.

[ISO-18014-1:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 1: Framework 2002.

[ISO-18014-2:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 2: Mechanisms producing independent tokens 2002.

[H.530:2002]

ITU-H H.530, Symmetric security procedures for H.323 mobility in H.510. (03/02).

[FIPS-140-2:2001]

FIPS 140-2, Security Requirements for Cryptographic Modules, May 2001.

[NIST-SP800-33:2001]

Underlying Technical Models for Information Technology Security, NIST Special Publication 800-33, December 2001.

[NIST-SP800-38A:2001]

Recommendation for Block Cipher Modes of Operation – Methods and Techniques, NIST Special Publication 800-38A, Dec 2001.

[ISO-15292:2001]

ISO/IEC 15292:2001, Information technology – Security techniques – Protection Profile registration procedures, 2001.

[CIAO:2000]

Critical Infrastructure Assurance Office, Practices for Securing Critical Information Assets, January 2000.

[FIPS-186-2:2000]

FIPS 186-2, Digital Signature Standard (DSS), January, 2000.

[ISO-9000_es:2000]

Sistemas de gestión de la calidad — Conceptos y vocabulario, 2000.

[ISO-10118-1:2000]

ISO/IEC 10118-1:2000, Information technology — Security techniques — Hash-functions — Part 1: General, 2000.

[ISO-13335-4:2000]

ISO/IEC 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards, 2000.

[Directive-1999/93/EC:1999]

Directive 1999/93/EC of the European Parliament and the Council of 13 December 1999 on a Community framework for electronic signatures.

[FIPS-43-3:1999]

FIPS 43-3, Data Encryption Standard (DES), October 1999 (withdrawn May 19, 2005).

[ISO-8732:1999]

ISO 8732:1988/Cor 1:1999, Banking – Key management (wholesale), 1999.

[ISO-9797-1:1999]

ISO/IEC 9797-1:1999, Information technology — Security techniques — Message Authentication Codes (MACs) — Part 1: Mechanisms using a block cipher, 1999.

[ISO-2382-8:1998]

ISO/IEC 2382-8:1998, Information technology — Vocabulary — Part 8: Security, 1998.

[ISO-14888-1:1998]

ISO/IEC 14888-1:1998, Information technology — Security techniques — Digital signatures with appendix — Part 1: General, 1998.

[CESID:1997]

Centro Superior de Información de la Defensa, Glosario de Términos de Criptología, Ministerio de Defensa, 3ª edición, 1997.

[ISO-9798-1:1997]

ISO/IEC 9798-1:1997, Information technology — Security techniques — Entity authentication — Part 1: General, 1997.

[Magerit:1997]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 1.0, 1997.

[Ribagorda:1997]

A. Ribagorda, Glosario de Términos de Seguridad de las T.I., Ediciones CODA, 1997.

[ISO-10181-1:1996]

ISO/IEC 10181-1:1996, ITU-T X.810, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview, 1996.

[ISO-10181-2:1996]

ISO/IEC 10181-2:1996, ITU-T X.811, Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework, 1996.

[ISO-11770-1:1996]

ISO/IEC 11770-1:1996, Information technology — Security techniques — Key management — Part 1: Framework, 1996.

[ISO-11770-2:1996]

ISO/IEC 11770-2:1996, Information technology — Security techniques — Key management — Part 2: Mechanisms using symmetric techniques, 1996.

[X.790:1995]

ITU-T X.790, X.790 Trouble management function for ITU-T applications. (11/95).

[X.810:1995]

ITU-T X.810, ISO/IEC 10181-1:1996, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview. (11/95).

[IRM-5239-8:1995]

IRM-5239-08A, U.S. Marine Corps, Compuer Security Procedures, 1995.

[ITSEM:1993]

ITSEM – Information Technology Security Evaluation Manual. Commission of the European Communities. 1993.

[ITSEC:1991]

ITSEC – Information Technology Security Evaluation Criteria – Harmonized Criteria of France, Germany, the Netherlands, and the United Kingdom, Version 1.1, Published by Dept. of Trade and Industry, London, 1991.

[ISO-7498-2:1989]

ISO 7498-2:1989, ITU-T X.800, Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture, 1989.

[TCSEC:1985]

TCSEC – Trusted Computer Systems Evaluation Criteria, DoD 5200.28-STD, Department of Defense, United States of America, 1985

[FIPS-81:1980]

FIPS 81, DES Modes of Operation, December 1980 (withdrawn May 19, 2005).

[BLP:1976]

Bell, D. E. and LaPadula, L. J., Secure Computer Systems: Unified Exposition and Multics Interpretation, MTR-2997 Rev. 1, MITRE Corp., Bedford, Mass., March 1976.

Firma electrónica en UBL

1 respuesta

En el marco de OASIS se está trabajando para definir la recomendación de uso de la firma electrónica que se utilizará en los mensajes UBL.

El uso más obvio es el del mensaje «Order» (pedido) ya que habitualmente tiene carácter contractual, pero en el caso europeo, es importante también la firma de la factura electrónica (Invoice), por lo que este es el uso más inmediato de esta recomendación.

No se trata de definir una norma. De hecho la recomendación se alinea con la norma de ETSI TS 101 903.

Sin embargo, dada la amplitud de posibilidades en la generación de modelos de firma electrónica que se prevé en la norma y las dificultades que puede tener la adopción de sistemas de firma electrónica en un contexto internacional, definir una recomendación simplificará la interoperabilidad de los sistemas de facturación electrónica.

En mi posición, como miembro del grupo de trabajo que redactará la recomendación, me inclino por proponer firmas electrónicas desarrolladas en la modalidad «enveloped» de forma que al ser la firma un nodo XML del mensaje UBL no se dificulta el entendimiento del mensaje, incluso si el receptor no es capaz de gestionar firmas electrónicas.

Además el tipo de firma debería ser de tipo ES-X-L adjuntando la información de timestamping y validación en origen, de forma que el receptor no tenga que lidiar con un complejo sistema de prestadores de servicios de certificación, como el que existe en Europa, con diferentes lenguas que habría que entender.

Este tipo de firmas ya están contempladas en la actual norma facturae 3.1, por lo que, en cierto modo, ya estaría dado un pequeño paso en la convergencia de facturae 4.0 con UBL 3.0 (o UN/CEFACT Cross Industry Invoice 1.0, si es que finalmente se llama así la norma de CEFACT que parte de la UBL 2.1 de OASIS).

De momento ya hay una propuesta respecto a la forma de incluir firmas electrónica en los mensajes UBL 2.0. que ha desarrollado Oriol Bausà de Invinet.

EDICOM, el PSC con «mejores prácticas»

Deja un comentario

EDICOM, empresa especializada en el desarrollo, implantación de soluciones y prestación de servicios XML/EDI, obtuvo el reconocimiento por parte del Ministerio de Industria, Turismo y Comercio para operar como PSC el pasado día 13 de Octubre, el mismo día que obtenía la Certificación de ASIMELEC, convirtiéndose en el primer PSC en disponer de esta acreditación.

El Esquema de Calidad de PSC de ASIMELEC permite identificar a los Prestadores de Servicios de Certificación que adoptan las mejores prácticas, por lo que la Autoridad de Certificación de EDICOM ha quedado identificada como la de más valor de entre las que operan en España, y, posiblemente en Europa. El sello de ASIMELEC supera los requisitos de otros esquemas como Webtrust for Certification Authorities, y tiene en cuenta la normativa europea de firma electrónica.

Operar en calidad de Autoridad de Certificación permite proveer a los clientes de EDICOM de los elementos de identificación específicos a la actividad concreta a realizar, evitando certificados generalistas y garantizando el cumplimiento de la legalidad en su interpretación más estricta, como en el caso de los dispositivos seguros, que gozan de la certificación CWA 14169.

EDICOM añade de esta forma a su amplio portafolio de soluciones para el transporte de información (mensajes de datos), el valor de actuar en Calidad de Autoridad de Certificación, lo que le permite prestar servicios como:

  • Emisión de certificados
  • Generación de Sellos de Tiempo
  • Almacenamiento certificado de información
  • Firma electrónica Remota

EDICOM expide certificados que se ajustan a lo establecido en la Directiva 1999/93/CE de 13 de diciembre de 1999 y a la Ley 59/2003 de 19 de diciembre, de firma electrónica, por lo que goza de amplio reconocimiento para operar en todos los países de la Unión Europea.

La certificación de ASIMELEC se ha obtenido en base a la auditoría de cumplimiento de la norma ETSI TS 101 456 y ha sido realizada por la consultora S21sec.

Edicom es una compañía dedicada al desarrollo e implantación de sistemas transaccionales de alto rendimiento empresa a empresa (B2B). Especialista en consultoría y desarrollo de software EDI e integración de datos (XML, EDIFACT, X12, VDA, …), aplicaciones y procesos, dispone de su propia Red de Valor Añadido (SEDEB2B) para el transporte seguro de la información, así como de soluciones en el campo del Reaprovisionamiento Continuo (CRP) y Trazabilidad. La empresa con sede en Valencia, posee delegaciones en México, Francia, Italia y Argentina, cuenta en la actualidad con un equipo humano de 128 personas especializadas en el campo de las comunicaciones electrónicas que atienden a las más de 4.800 empresas que conforman su cartera de clientes y su plataforma de intercambio mueve más de 80 millones de transacciones anuales.

Interlocución telemática

3 respuestas

El 29 de diciembre de 2007 se publicó en el BOE la LMISI, Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Una de las características de esta norma es que impone a las empresas privadas ciertas obligaciones coherentes con el derecho de los ciudadanos a usar la vía telemática que se consagra en la  LAECSP, Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos .

En el artículo 2 de la LMISI se establece la obligación de ciertas empresa de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica. Y en la disposición final cuarta se indica que esta obligación entrará en vigor a los doce meses de la publicación de la Ley en el Boletín Oficial del Estado.

Todo el artículo tiene su interés, pero conviene destacar que sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio de interlocución telemática que, mediante el uso de certificados reconocidos de firma electrónica, les permita la realización de ciertos trámites como la contratación electrónica, modificación de condiciones contractuales, altas, bajas, quejas, histórico de facturación, sustitución de informaciones y datos en general, así como el ejercicio de los derechos de acceso, rectificación, oposición y cancelación en materia de protección de datos

Las empresas obligadas por esta normativa son aquellas con más de 100 empleados o un volumen de operaciones superior a los 6 millones de euros que presten servicios al público considerados como de especial trascendencia económica, como banca, electricidad, agua y gas, y telecomunicaciones, entre otros.

Para facilitar a todo tipo de empresas el cumplimiento de esta norma, Albalia Interactiva ha desarrollado en el marco de su gama de servicios EADTrust la funcionalidad de Interlocución Telemática que se integra con facilidad en el entorno web  de la empresa. De esta manera, en un tiempo record, es posible contar con este tipo de servicios y cumplir los plazos marcados por la ley. Los formularios firmados electrónicamente se guardan en formato XAdES-X-L (según se define por la norma TS 101 903) por lo que incluyen todas las evidencias electrónicas que afectan a la validez del certificado en el momento de la firma.

El sistema es personalizable con la imagen del web de la entidad y permite definir todo tipo de trámites y formularios. Además, es posible diseñar entornos mixtos en los que el formulario se completa y se prevalida en la entidad y se firma electrónicamente en la plataforma EADTrust.

Trámites que debe permitir la interlocución telemática

Mediante el uso de certificados reconocidos de firma electrónica, la interlocución telemática debe permitir a los clientes y usuarios la realización de, al menos, los siguientes trámites:

  • Contratación electrónica de servicios, suministros de bienes, la modificación y finalización o rescisión de los contratos, así como cualquier acto o negocio jurídico entre las partes.
  • Consulta de los datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los tres últimos años y el contrato suscrito.
  • Presentación de quejas, incidencias, sugerencias y reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.
  • Ejercicio de los derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

Empresas afectadas por la normativa

Las empresas obligadas por esta normativa son aquellas que agrupen a más de cien trabajadores o cuenten con un volumen anual de operaciones superior a los 6.010.121 euros y que, en ambos casos, operen en los siguientes sectores:

  • Servicios de comunicaciones electrónicas a consumidores.
  • Servicios financieros destinados a consumidores, que incluyen los servicios bancarios, de crédito o de pago, los servicios de inversión, las operaciones de seguros privados, los planes de pensiones y la actividad de intermediación de seguros.
  • Servicios de suministro de agua a consumidores.
  • Servicios de suministro de gas al por menor.
  • Servicios de suministro eléctrico a consumidores finales.
  • Servicios de agencia de viajes.
  • Servicios de transporte de viajeros por carretera, ferrocarril, vía marítima o aérea.
  • Actividades de comercio al por menor.

Además, el Gobierno y las Comunidades Autónomas, podrán ampliar el ámbito de aplicación de esta obligación a otras empresas distintas de las previstas en la Ley, en aquellos casos en los que se considere que en el desarrollo de su actividad normal deban tener una interlocución telemática con sus clientes o usuarios.