Archivo de la categoría: Compliance

zBackTrust, firma electrónica para System Z

10 respuestas

Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

Referencias:

Aportaciones tecnológicas de Adobe a la banca española en las jornadas organizadas por Financial Tech Magazine

Deja un comentario

Via CMS-Spain.

Este es un resumen del evento que tuvo lugar el pasado 20 de mayo de 2009.

Con la crisis, la banca ha de reorientarse hacia la satisfacción del cliente, no solamente a la reducción de costes. Uno de los principales retos a los que se debe enfrentar la banca a corto plazo es la actualización de los procesos de gestión documental

La banca ha de reorientarse hacia la satisfacción del cliente, no solamente a la reducción de costes. Esta fue una de las principales conclusiones extraídas de la jornada organizada por Financial Tech Magazine con el patrocinio de Adobe Systems, que bajo el título ‘Un nuevo entorno tecnológico para la banca comercial’, abordó el nuevo escenario normativo y tecnológico al que se enfrenta el sector financiero en plena crisis.

Julián Inza, presidente de Albalia Interactiva, fue el primero en resaltar dos de los puntos más fundamentales: por un lado, el hecho de que “España ha sido el primer país del mundo en legislar la digitalización certificada”, y por otro, cómo desde el 1 de enero del presente año “las entidades financieras están incumpliendo con la Ley 56/2007, en virtud de la cual están obligadas a disponer de medios de interlocución telemática con sus clientes”.
 
La explicación a este incumplimiento no se debe a que no existan medios tecnológicos para llevarlo a cabo, puesto que como apuntó Inza, los avances en materia de documentos electrónicos han sido extraordinarios en los últimos años, hasta el punto de que “ya es posible destruir el papel y contar sólo con documentos escaneados –digitalizados-, con firma electrónica embebida, en el caso de las facturas o de los documentos tributarios”. Así, este incumplimiento –tras el cual, la Administración aún no ha puesto en marcha un régimen sancionador-, se debe más bien al hecho de que “los procesos de gestión documental de la banca siguen a la antigua usanza”, precisó Inza, “dificultando la gestión de los archivos electrónicos”. Este será, pues, uno de los primeros retos a los que habrá de enfrentarse la banca a corto plazo.
 
El escenario es propicio para ello, puesto que como señaló el presidente de Albalia Interactiva, “a pesar de que no existen equivalencias funcionales entre el mundo físico y el digital –en éste, el concepto de ‘original’ no existe-, contamos con un contexto de documento electrónico con los suficientes instrumentos para que  sirva como evidencia electrónica”. Incluso, en el caso específico de los contratos, es posible digitalizarlos: “tan sólo es necesario realizar una novación, comunicando la digitalización del documento a la otra parte y dando como resultado un nuevo contrato pero con idéntico contenido que el primero”.
 
Inza estructuró en tres los elementos básicos de infraestructura para una digitalización certificada: firma electrónica (cuyas mejores tecnologías son el PDF y el XML), la custodia (con carácter probatorio) y la conversión de documentos. En este último punto, XML es la tecnología más empleada, pero “presenta algunos problemas para su visionado que bien pueden resolverse mediante los formularios inteligentes de Adobe”, matizó el experto.
 
En su repaso normativo, Inza recorrió el amplio conjunto de leyes promulgadas en 2007, con especial hincapié en la Ley 22/2007, de contratación a distancia de servicios financieros, que contempla que el soporte sea duradero tanto para ofertas como para contratos y arroja peculiaridades como que el consumidor cuente con hasta 14 días para extinguir un contrato sin alegar motivos o que la carga de la prueba siempre tenga que recaer en la institución. Paralelamente, el experto criticó a los bancos, “que se preocupan más por ser menos vulnerables al phishing que sus competidores, pero en realidad no luchan por erradicarlo”.
 
La parte final de la jornada abordó directamente el escenario actual en que se encuentra la banca y cómo habrá de reorientarse para capear de un modo más óptimo la crisis. Oski Goldfryd, director de Financial Tech Magazine, expuso algunas de las conclusiones del estudio de Datamonitor sobre la situación de las tecnologías en la banca comercial, subrayando “la necesidad de recuperar la confianza perdida, reconstruir su imagen con un mayor foco de atención en el cliente y los procesos, no en los productos”. En este sentido, la tecnología pasa por ser el mejor aliado para conseguirlo.
 
Así lo corroboró también el director de Banca y Seguros de Adobe Systems, Ramón de la Fuente, que destacó “el papel fundamental que la tecnología de Adobe puede desempeñar en este cambio de paradigma, no sólo con su tecnología PDF –que ya no es estática, integra incluso flash, y es estándar ISO, sino con el resto de tecnologías como Livecycle para cubrir todo el espectro de gestión documental con complementos BPM, Adobe Air para llevar RIAs (Reach Internet Applications) al escritorio o, incluso, sus videoconferencias a través de Adobe Acrobat Connect Pro soportadas únicamente con flash, sin necesidad de instalar otro software”.
 
Precisamente esta tecnología es la que servirá para salvar el gap existente en la actualidad en lo que Goldfryd resumió con la sentencia “dejar de hablar de servicio al cliente y comenzar a realizarlo”, por parte de los bancos. El director de Financial Tech Magazine insistió en que “el cliente ahora sabe mucho más, exige más transparencia en las ofertas y conoce perfectamente lo que la tecnología le puede proporcionar, por lo que no está dispuesto, por ejemplo, a esperar dos días para que una transferencia se haga efectiva”.
 
Desde su óptica, “la Generación XY, de jóvenes familiarizados con la tecnología, espera nuevos enfoques,  con webs que aporten más valor añadido, no tan cuadriculadas, incursión en redes sociales –BBVA es pionero- e, incluso, un P2P para préstamos de pequeñas cantidades de dinero”.
 
En esta línea, todo hace indicar que la banca aún tendrá que invertir en tecnología para superar estas carencias, abordando una multicanalidad que, según De la Fuente, “es más sencilla si se realiza en torno a un visor universal, como es el Acrobat Reader y Flash Player, que se encuentra instalado en el 98% de los ordenadores”. Esta podría ser la vía para alcanzar la autocontratación que ansían los clientes y los bancos, simplificando todos los trámites online que a día de hoy son demasiado complejos o técnicamente cuestionables.

INTECO difunde lo perfiles de protección Common Criteria del DNI electrónico

2 respuestas

ccra_logoEl Instituto Nacional de Tecnologías de la Comunicación (Inteco) difunde. con el apoyo del Centro Criptológico Nacional del Centro Nacional de Inteligencia, la certificación de seguridad de los perfiles de protección del DNI electrónico, cuatro documentos que recogen los requisitos técnicos esenciales para el desarrollo seguro y uso de aplicaciones del DNIe, en el marco de Common Criteria, ISO 15408.

Dichos perfiles han sido certificados con fecha del 23 de febrero y publicados en el Boletín Oficial del Estado (BOE) del 14 de abril, con lo que están disponibles para su uso por desarrolladores de aplicaciones certificables en el entorno del DNIe.

Actualmente más de diez millones de ciudadanos españoles disponen de esta tarjeta de identificación electrónica que contiene en su «chip» los mecanismos necesarios para permitir acreditar la identidad y llevar a cabo la firma electrónica de los ciudadanos por medios electrónicos.

Los requisitos técnicos, elaborados por Inteco en una encomienda de gestión del Ministerio de Industria, Turismo y Comercio, a través de Red.es, se reconocen internacionalmente como Perfiles de Protección o ‘Protection Profiles’ y en ellos se recogen los requisitos de seguridad estándar según la normativa internacional de referencia Common Criteria, que consiste en  un marco normativo aprobado como estándar internacional por ISO (CCv3.1) en 1999.

Entre las principales ventajas que se obtienen de la certificación de estos perfiles de protección se encuentra la posibilidad por parte de los usuarios de disponer de aplicaciones seguras y certificadas para el uso del DNIe como dispositivo de firma electrónica, lo que fortalece su confianza en este dispositivo en los trámites electrónicos con la administración o con el sector privado. En particular cumplir el requisito que impone el certificado de firma del DNI electrónico respecto al «content commitment», lo que significa que la aplicación informática de firma electrrónica debe cerciorarse de que «lo que se ve es lo que se firma» («what you see is what you sign»).

Del mismo modo, la industria desarrolladora de aplicaciones tendrá a su disposición los medios para diseñar, certificar y comercializar servicios seguros bajo una normativa o estándar reconocido.

Por otra parte, para garantizar la protección del usuario en la utilización del DNIe, en el grupo de expertos para la elaboración de estos perfiles de protección han estado representados la Dirección General de la Policía, la Agencia Española de Protección de Datos, el Centro Criptológico Nacional y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, así como las principales asociaciones de la industria española, como ASIMELEC.

Inteco, mediante un laboratorio acreditado (Epoche & Espri), ha elaborado cuatro documentos de perfiles de protección para aplicaciones de creación y verificación de firma electrónica con el DNIe: dos para plataformas TDT, PDA y dispositivos móviles y otros dos para ordenadores personales con sistemas operativos de propósito general.

Para cada entorno se han certificado (a través de LGAI-Applus), a su vez, dos perfiles para que el desarrollador pueda optar a dos niveles de garantía de seguridad diferentes en cuanto a su certificación, denominados EAL1 y EAL3. El primero está dirigido a todo tipo de desarrollos, mientras que el segundo está diseñado para aquellos desarrollos que quieran obtener un nivel superior de garantía de seguridad.

Con la intención de facilitar a los desarrolladores y a la industria en general la adopción de estos perfiles de protección, como referente para el diseño y desarrollo de sus aplicaciones de firma con el DNIe, el Instituto Nacional de Tecnologías de la Comunicación ha elaborado unas guías para la aplicación de los perfiles de protección en la elaboración de aplicaciones certificables de creación y verificación de firma con DNI electrónico.

Adicionalmente, el próximo día 20 de abril, Inteco presentará en su sede de León los perfiles de protección, conjuntamente con las guías de aplicación a la industria, las asociaciones sectoriales y a todos los desarrolladores interesados en estos documentos, su contenido y su aplicación.

 Estos perfiles, denominados técnicamente como PPSCVA-T1-EAL1, PPSCVA-T1-EAL3, PPSCVA-T2-EAL1 y PPSCVA-T2-EAL3, además de impulsar el desarrollo de aplicaciones seguras en el entorno del DNIe, son las herramientas básicas para difundir la cultura de la certificación entre desarrolladores y la cultura en el uso de herramientas seguras entre los usuarios de estas aplicaciones. Dichas guías y perfiles de protección estarán disponibles en la página web de la entidad: www.inteco.es y en la del Organismo de Certificación del Centro Criptológico Nacional.

Obligatoriedad de la facturación electrónica

10 respuestas

Hace algo más de un año explicaba mi opinión de que la facturación electrónica era obligatoria desde el 1 de mayo de 2008. O desde el 1 de agosto de 2008 si los 3 meses de plazo para la obligatoriedad los contamos desde la entrada en vigor de la Ley 30/2007 en vez de la de la Orden PRE/2971/2007.

Algunos comentarios apuntaban a que quizá habría más desarrollos legislativos en un año, lo que justificaría dar ese margen adicional a la obligatoriedad. Pues bien, ya han transcurrido 11 meses y no se ha publicado ninguna norma adicional. Por un motivo muy sencillo. No es necesario. Porque la orden PRE/2971/2007 ya contiene lo que según la Ley 30/2007 permite la facturación electrónica al sector público.

Por las mismas fechas publiqué varios post en el mismo sentido:

Qué empresas deben facturar electrónicamente

Para qué empresas no es obligatoria la Factura Electrónica

y otros de temática afín:

Nuevas obligaciones tributarias. Real Decreto 1065/2007, de 27 de julio,

Nuevas obligaciones tributarias. Orden EHA/3435/2007, de 23 de noviembre

Hoy me reafirmo en que la mayor parte de los organismos de la AGE están incumpliendo la Ley 30/2007 de Contratos del Sector Público en este específico aspecto, y obligan a incumplirlo a las empresas igualmente obligadas.

Y lo triste es que tampoco lo van a cumplir desde el 1 de mayo de 2009.

Actualización.

Parece que mis «post» han sido fuente de inspiración (aunque con diferentes conclusiones) para Xperimentos. Estaría bien que citaran la fuente. Ya me voy fijando que Xperimentos unas veces cita la fuente y otras no.

Proyecto de Ley de Servicios de Pago

Deja un comentario

En el Consejo de Ministros de ayer viernes, 3 de abril de 2009, se aprobó la remisión a las Cortes del Proyecto de Ley de Servicios de Pago. Enmarca los desarrollos SEPA a los que hemos hecho referencia en este blog.

Single Euro Payment AreaGarantiza seguridad, eficiencia y facilidad en las operaciones de pago realizadas en el ámbito de la Unión Europea.

Refuerza los derechos y la protección de los usuarios de este tipo de servicios financieros.

El Consejo de Ministros ha aprobado la remisión a las Cortes Generales del Proyecto de Ley de Servicios de Pago, por el que se transpone a la normativa española la Directiva comunitaria de 2007/64/CE  sobre servicios de pago en el mercado interior.

Esta norma garantiza que los pagos realizados en el ámbito de la Unión Europea, en concreto las transferencias, los adeudos directos y las operaciones de pago efectuadas mediante tarjeta, puedan realizarse con la misma facilidad, eficiencia y seguridad que los pagos nacionales internos de los Estados miembros.

Tras la entrada en vigor de la nueva regulación en los veintisiete Estados miembros, el cumplimiento de tales objetivos propiciará que los usuarios de servicios de pago se beneficien, entre otras, de las siguientes novedades:

  • La posibilidad de realizar más sencilla, segura y eficientemente transferencias transfronterizas, incluyendo adeudos.
  • La posibilidad de utilizar tarjetas de débito en cualquier otro Estado.
  • La posibilidad de operar con una sola cuenta corriente en todo el territorio, sin necesidad de abrir una nueva cuenta corriente si se desplazan a otro Estado por motivos laborales, de estudios, etcétera.
  • La mayor rapidez de los pagos, de manera que el beneficiario dispondrá de los fondos como muy tarde el día siguiente al de la realización de la transferencia.
  • La disposición de mayores niveles de protección y de mejor información, como por ejemplo la relativa a los gastos aplicados, el establecimiento de reglas más claras sobre el reembolso en caso de transacciones mal ejecutadas o la reducción o eliminación total de su responsabilidad en caso de pérdida o robo de un instrumento de pago.
  • La regulación de los gastos aplicables. En toda prestación de servicios de pago que no incluya una conversión en divisas, los gastos serán compartidos entre ordenante y beneficiario. Se trata de la cláusula “share”, novedosa en el ordenamiento jurídico español, ya que hasta el momento los gastos corren íntegramente de cuenta del ordenante.

Determinación de los servicios de pago y de los proveedores autorizados

Entre los servicios de pago regulados, el Proyecto de Ley establece la ejecución de transferencias, la ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar y la ejecución de los adeudos domiciliados, y extiende su ámbito a otros servicios de pago tales como la emisión y adquisición de instrumentos de pago o el envío de dinero.

En definitiva, la prestación de cualquiera de los servicios de pago enumerados y regulados por el Proyecto de Ley queda prohibida a cualquier persona física o jurídica que no tenga la condición de proveedor de servicios de pago.

Régimen jurídico de las entidades de pago

La norma establece un nuevo tipo de entidades autorizadas para la prestación y ejecución de los servicios de pago regulado por la Directiva, las entidades de pago, y configura el régimen jurídico de esta nueva categoría de entidades.

Entre los aspectos sustanciales del régimen jurídico, las entidades estarán sujetas a una autorización administrativa, que será concedida por el Ministro de Economía y Hacienda con los preceptivos informes del Banco de España y del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales (SEPBLAC). Se establecen, igualmente, los requisitos de capital inicial y recursos propios, el listado de actividades que pueden realizar y los requisitos de garantía previstos para la salvaguarda de los fondos recibidos para la ejecución de las operaciones de pago.

Además, el Proyecto completa el régimen jurídico de las entidades de pago con las oportunas disposiciones referidas al ejercicio del derecho de establecimiento y la libre prestación de servicios dentro de la Unión Europea, a la utilización de agentes y delegación de funciones, a la contabilidad y auditoría, y al ejercicio de la función supervisora del Banco de España en términos similares a los previstos por la legislación vigente para las entidades de crédito.

Transparencia de los servicios de pago

Con objeto de garantizar la adecuada protección de los usuarios de servicios de pago, el nuevo texto incluye un conjunto de obligaciones de información (sobre los costes de las operaciones, la fecha de recepción de la orden de pago, el importe de la operación, etcétera) que el proveedor de un servicio de pago habrá de suministrar a los usuarios de dichos servicios, ya se trate de operaciones de pago singulares o de operaciones de pago reguladas por un contrato marco.

Los proveedores de servicios de pago quedarán obligados a facilitar de manera gratuita la información que en relación con la prestación de servicios de pago se determine reglamentariamente. El proveedor tan sólo podrá cobrar por información adicional o más frecuente, y, en todo caso, de manera proporcionada a los costes efectivamente soportados.

Derechos y obligaciones derivados de la prestación y utilización de los servicios de pago

Para la protección de los derechos de los clientes de servicios financieros, el Proyecto de Ley incluye un amplio conjunto de derechos y obligaciones derivados de la relación contractual entre el prestador del servicio de pago y el usuario de un servicio.

Asimismo, incide en el buen uso de los instrumentos de pago, incrementa de manera notable el nivel de protección de los usuarios, tanto a nivel general como en relación con cada uno de los aspectos sustanciales de la relación contractual previstos, es decir, los relativos a los gastos aplicables, la autorización de operaciones de pago y la ejecución de órdenes de pago.

Por último, el Proyecto se refiere a los gastos aplicables. Se prevé que en toda prestación de servicios de pago que no incluya una conversión en divisas los gastos serán compartidos entre ordenante y beneficiario. De nuevo, se trata de la conocida como cláusula “share” , novedosa en nuestro ordenamiento jurídico, ya que hasta el momento los gastos corren íntegramente de cuenta del ordenante.

Blanqueo de Capitales

Deja un comentario

Ya hace algún tiempo participé en uno de estas conferencias organizadas por IFAES.

La de este año (2009)  lleva por título: CUÁLES SON LOS MECANISMOS DE PREVENCIÓN Y CONTROL PARA COMBATIR EL BLANQUEO DE CAPITALES.

Se celebra del 25 al 26 de Marzo de 2009 en el Hotel Meliá Madrid Princesa.

Este es el folleto.Y esta es la página de inscripción.

Y este es el programa:

PRIMER DIA
09.00 Recepción de los Asistentes y entrega de la documentación

09.20 Apertura de la Sesión por el Presidente de la Jornada

09.30 Cuáles son los objetivos de la actual legislación sobre el blanqueo de capitales

  • Cuál es el marco normativo actual
  • Qué medidas se pueden establecer contra el blanqueo de capitales: medidas preventivas y medidas represivas
  • Cuáles son las principales vías de colaboración para detectar e investigar operaciones de blanqueo de capitales
  • Cuál es el impacto de la III Directiva Comunitaria sobre Blanqueo de Capitales
  • Qué nuevos delitos quedan tipifi cados en la normativa
  • Sujetos obligados
  • Cuál es la distinción entre los conceptos diligencia debida, reforzada y simplificada
  • Principales características que deben recoger los sistemas de control interno de operaciones sospechosas
  • Nuevas tendencias regulatorias

D. Luis Manuel Rubí Blanc
SOCIO DIRECTOR
RUBÍ BLANC ABOGADOS

10.30 Qué obligaciones establece la ley de cara a luchar contra el blanqueo de capitales

  • Quiénes son los sujetos obligados a colaborar en materia de prevención de blanqueo de capitales
  • Principales obligaciones en la lucha contra el blanqueo de capitales
  • Identificación de clientes
  • Conservación de documentos
  • Comunicación de operaciones sospechosas
  • eporting sistemático
  • Sistemas especializados de control interno
  • En qué consiste el régimen de colaboración de autoridades, funcionarios y otros organismos de supervisión

Dña. Raquel Cabeza Pérez
CONSEJERO TÉCNICO
SUBDIRECCIÓN GENERAL DE INSPECCIÓN Y CONTROL DE MOVIMIENTOS DE CAPITALES
Dirección del Tesoro y Política Financiera
MINISTERIO ECONOMÍA Y HACIENDA

11.30 Pausa café

12.00 Cuáles son los principales mecanismos que difi cultan la acción blanqueadora y facilitan información útil para posteriores investigaciones judiciales

  • Comunicación de operaciones sospechosas
  • Qué tipo de operaciones deben comunicarse
  • Cómo detectar si una operación presenta indicios o sospechas de estar relacionada con el blanqueo de dinero
  • Cómo informar al Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales
  • Reporting Sistemático
  • Qué operaciones deben ser siempre comunicadas
  • Periodicidad del Reporting
  • Excepciones a la obligación de comunicación
  • Qué tipos de sanciones se aplican ante los incumplimientos

D. Carlos Sáiz Díaz
SOCIO
GOMEZ ACEBO & POMBO

13.00 Cómo deben actuar las Entidades Financieras para cumplir con las exigencias de lucha contra el blanqueo de capitales

  • Que papel debe asumir la Alta Dirección
  • Cuál es el coste del cumplimiento de la normativa legal
  • Cuáles son los pasos a seguir para detectar y demostrar una operación fraudulenta
  • Cómo implementar mecanismos internos de control para la detección y prevención del blanqueo
  • Qué riesgos afrontan las entidades fi nancieras al ser empleadas como instrumentos para el blanqueo de capitales: riesgos reputacionales, riesgos legales y riesgos operacionales
  • Cómo afronta la Banca estos cambios de adaptación a las nuevas exigencias legales

D. Manuel Domínguez Mayán
DIRECTOR AUDITORÍA SUCURSALES PONTEVEDRA
CAIXANOVA

14.00 Almuerzo

15.30 Qué mecanismos internos de control pueden implantar las Entidades Financieras para prevenir el blanqueo de capitales

  • La elaboración de un manual de procedimientos y mecanismos internos de control
  • Etapas a tener en cuenta a la hora de establecer los mecanismos internos de control: apertura de cuenta, conocimiento del cliente, monitorización, surveillance
  • Creación de equipos de revisión interna
  • Verificación de los procedimientos
  • Puesta en marcha de órganos internos de prevención del blanqueo
  • Responsabilidad compartida
  • La gestión y control de las cuentas de clientes en países de Alto Riesgo
  • uál es la operativa de los Paraísos Fiscales y países de Alto Riesgo
  • Qué tipo de monitorización se puede realizar en las cuentas Offshore

Dña. Pilar López-Aranguren Velarde
EXECUTIVE DIRECTOR
COMPLIANCE
GOLDMAN SACHS GESTIÓN SGIIC SA

16.30 Cómo desarrollar y establecer políticas y procedimientos de identificación de clientes (KYC)

  • Cómo elaborar el perfi l de cliente
  • ué documentación se debe solicitar y cómo se deben validar dichos documentos
  • Personas físicas vs. personas jurídicas
  • Clientes establecidos vs. clientes ocasionales
  • Cómo defi nir estrategias para controlar con más precisión sus movimientos de capitales y las transacciones económicas
  • Qué novedades introduce la Directiva 2006/70/CE en relación a la identifi cación de clientes PEP’s (PPE:“Persona Políticamente Expuesta”)
  • Diferencias entre Directiva 2006/70/CE y la legislación española
  • Por qué la clasificación como PEP’s aumenta el perfi l de riesgo de un cliente
  • Qué tipo de seguimiento de actividad de las cuentas de los PEP’s se debe realizar
  • Cómo mitigar el riesgo reputacional gestionando la identifi cación de los PEP’s mediante la implantación de un sistema efi caz y fi able

D. Pablo Bernad Ramoneda
SOCIO RESPONSABLE DE FORENSIC EN EUROPA, ORIENTE MEDIO Y ÁFRICA (EMA)
KPMG

17.30 La colaboración internacional contra el blanqueo de capitales

  • Principales recomendaciones del Grupo de Acción Financiera Internacional
  • Qué impacto tienen estas recomendaciones en el sector financiero
  • Cuáles son los principales incumplimientos que se detectan
  • Comparativa con otros países
  • Principios de Wolfsberg Antiblanqueo para la prevención del blanqueo de dinero
  • Cómo diseñar, implementar y controlar un programa Anti-Money Laundering (AML) a nivel internacional que cumpla con los requisitos y regulaciones de los distintos países

D. Javier Odriozola Villanueva
RESPONSABLE DE LA LÍNEA DE SERVICIOS DE PREVENCIÓN DE BLANQUEO DE CAPITALES
SOCIO
DELOITTE

18.30 Fin de la Jornada

SEGUNDO DIA

09.00 Recepción de los Asistentes

09.20 Apertura de la Sesión por el Presidente de la Jornada

09.30 Cómo actúan los Cuerpos de Seguridad del Estado en la lucha contra el blanqueo de capitales

  • Cuáles son las principales estrategias de blanqueo de capitales
  • Cuáles son los delitos previos base de la actividad blanqueadora: terrorismo, narcotráfi co, tráfi co de armas, prostitución, etc.
  • Qué instrumentos son utilizados para dar legitimidad o legalidad a estos bienes o activos de origen delictivo
  • Cómo descubrir el perfi l del blanqueador
  • Objetivos policiales de las investigaciones por blanqueo: decomiso, embargo de bienes de procedencia ilícita. Ventajas e inconvenientes.

D. Pedro Merino Castro

COMANDANTE
Unidad Técnica de Policía Judicial
GUARDIA CIVIL

10.30 La importancia del informe de revisión del experto externo sobre el sistema de prevención del blanqueo de capitales

  • Cómo ha de realizar el experto externo la revisión para asegurar al sujeto obligado que su informe cumple con los requisitos exigidos y, en consecuencia, que el sujeto obligado cumple con la obligación de someter su sistema de prevención del blanqueo de capitales a la revisión anual
  • Proceso elaboración del informe de experto externo
  • Principales conclusiones de los informes de experto externo realizados

D. Javier González de las Heras
DIRECTOR DEL ÁREA DE AUDITORÍA INTERNA Y GESTIÓN DEL RIESGO
ERNST & YOUNG

11.30 Pausa café

12.00 Transparencia de formas societarias y paraísos fi scales en la prevención del blanqueo de capitales

  • Uso de formas societarias para fi nes ilícitos
  • Los paraísos fi scales y otros mecanismos de elusión
  • Banca Privada, uso de formas societarias y la problemática específi ca de las personas políticamente expuestas (PPE)
  • l riesgo reputacional
  • Los indicadores de transparencia de una sociedad

Dña. Concepción Cornejo García
SUBDIRECTORA GENERAL ADJUNTA DE PREVENCIÓN DEL BLANQUEO DE CAPITALES
Dirección del Tesoro y Política Financiera
MINISTERIO DE ECONOMÍA Y HACIENDA

13.00 La experiencia práctica del Grupo Santander como sujeto obligado

  • Cómo implicar todas las áreas de negocio y niveles de la organización en el diseño, aplicación y supervisión de un sistema adecuado de prevención de blanqueo
  • ¿Es necesaria la creación de órganos específi cos internos de control y comunicación?
  • Qué normas y procedimientos específi cos deben ser tenidos en cuenta en la elaboración de un sistema de control interno
  • Cómo afrontar estas obligaciones con el estricto cumplimiento del deber de confi dencialidad
  • Cómo formar y capacitar a los empleados de la entidad en el programa antiblanqueo
  • Cuáles son las responsabilidades y requisitos legales que deben conocer y asumir
  • Qué empleados deben ser formados en el programa antiblanqueo de la entidad
  • Sobre qué temas deben recibir información

D. Jesús Gómez Gómez

RESPONSABLE DE FORMACIÓN, PREVENCIÓN Y BLANQUEO DE CAPITALES
GRUPO SANTANDER

14.00 Almuerzo

15.30 Régimen sancionador: el marco represivo del blanqueo de capitales

  • Los principios informadores del derecho sancionador administrativo y penal
  • La problemática de la concurrencia e incidencia del procedimiento ante el SEPBLAC con el proceso penal
  • Infracciones administrativas: muy graves y graves
  • Cuáles son las sanciones que se establecen para cada tipo de infracción
  • Prescripción del delito y de las infracciones
  • Procedimiento sancionador y proceso penal: órganos competentes
  • Problemática procesal y probatoria en el delito de blanqueo de capitales
  • La comisión del delito de blanqueo de capitales por imprudencia

D. Santiago Milans del Bosch
SOCIO
CUATRECASAS

16.30 Herramientas de gestión antiblanqueo en banca electrónica

  • Riesgos y oportunidades del entorno Internet
  • Detección de operaciones fraudulentas y sospechas de blanqueo
  • Actuaciones frente al phishing y al pharming
  • Evolución de la delincuencia a través de Internet
  • Firma electrónica
  • Nuevas disposiciones normativas de 2007: Ley 22/2007, Ley 56/2007

D. Julián Inza Aldaz
PRESIDENTE
ALBALIA INTERACTIVA

17.30 Fin de las Jornadas

XAdES/CAdES ETSI Plugtest

12 respuestas

Plug Test LogoAlbalia Interactiva participa una vez más en el juego de pruebas de interoperabilidad XAdES de ETSI (European Telecommunications Standards Institute). Solo dos entidades españolas participan en esta edición de febrero de 2009 frente a las 10 que se inscribieron hace un año.

Existe un informe en el que se recogen los principales resultados del evento de septiembre de 2008. Como se puede comprobar, el nivel de las entidades participantes es muy alto, y entre ellas, Albalia Interactiva obtiene un elevado grado de interoperabilidad e interpretación del estándar. Ver nota de prensa de ETSI.

Las nuevas pruebas se desarrollarán del 16 al 27 de febrero de  2009 y el último dia para inscribirse es el 6 de febrero de 2009.

En esta ocasión, nosotros testaremos nuestras soluciones Backtrust desarrolladas para .net, ya que en la anterior edición probamos bastante exhaustivamente las desarrolladas para entornos java.

Dado el pequeño número de inscritos (la mitad de otras ediciones) las diferentes pruebas deberían desarrollarse con bastante celeridad. Sin embargo, veo que el entorno de pruebas se ha rediseñado por completo y que bastantes de los inscritos figuran por primera vez, por lo que quizá los primeros días serán de «ajuste» entre los participantes.

Grupo «Evidencias Electrónicas» en LinkedIn

3 respuestas

He creado un grupo en «Linked In«especializado en «Evidencias Electrónicas«. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

Normas relativas a la seguridad

Deja un comentario

El Centro Criptológico Nacional es uno de los organismos más relevantes en lo que se refiere a la difusión de los conceptos de seguridad en España.

De su página web extraigo esta interesante lista de normas técnicas de seguridad:

[ISO-11770-3:2008]

ISO/IEC 11770-3:2008, Information technology — Security techniques — Key management — Part 3: Mechanisms using asymmetric techniques, 2008.

[ISO-27005:2008]

ISO/IEC 27005:2008, Information technology — Security techniques — Information security risk management, 2008.

[UNE-71504:2008]

UNE 71504:2008 – Metodología de análisis y gestión de riesgos de los sistemas de información, 2008.

[CCN-STIC-401:2007]

Guías Generales: Glosario y Abreviaturas. Centro Criptológico Nacional, Guía STIC 401 2007.

[ITIL:2007]

ITIL V3 Glossary, 30 May 2007

[NIST-SP800-38D:2007]

Recommendation for Block Cipher Modes of Operation: Galois/Counter, NIST Special Publication 800-38D, Nov 2007.

[NIST-SP800-57:2007]

Recommendation for Key Management – Part 1: General, NIST Special Publication 800-57, March 2007.

[NIST-SP800-94:2007]

Guide to Intrusion Detection and Prevention Systems (IDPS) NIST Special Publication 800-94, February 2007.

[ISO-11568-4:2007]

ISO 11568-4:2007, Banking — Key management (retail) — Part 4: Asymmetric cryptosystems — Key management and life cycle, 2007.

[ISO-21827:2007]

ISO/IEC 21827:2002, Information technology — Systems Security Engineering — Capability Maturity Model (SSE-CMM), 2007.

[RFC4949:2007]

RFC4949, Internet Security Glossary, Version 2, August 2007Each entry is preceded by a character — I, N, O, or D — enclosed in parentheses, to indicate the type of definition (as is explained further in Section 3):

  • «I» for a RECOMMENDED term or definition of Internet origin.
  • «N» if RECOMMENDED but not of Internet origin.
  • «O» for a term or definition that is NOT recommended for use in IDOCs but is something that authors of Internet documents should know about.
  • «D» for a term or definition that is deprecated and SHOULD NOT be used in Internet documents.

.see url:http://www.ietf.org/rfc/rfc4949

[UNE-ISO-27001_es:2007]

UNE-ISO/IEC 27001:2007, Tecnología de la información – Técnicas de seguridad – Sistemas de Gestión de la Seguridad de la Información (SGSI) – Especificaciones (ISO/IEC 27001:2005), 2007.

[BS25999-1:2006]

Business continuity management – Part 1: Code of practice. British Standard BS 25999-1:2006.

[CC:2006]

Common Criteria for Information Technology Security Evaluation, version 3.1, revision 1, September 2006.

  • Part 1 – Introduction and general model
  • Part 2 – Security functional requirements
  • Part 3 – Security assurance requirements

Also published as [ISO/IEC 15408].

[CCN-STIC-001:2006]

Políticas: Seguridad de las TIC en la Administración. Centro Criptológico Nacional, Guía STIC 001, 2006.

[CCN-STIC-002:2006]

Políticas: Definición de Criptología Nacional. Centro Criptológico Nacional, Guía STIC 002, 2006.

[CCN-STIC-003:2006]

Políticas: Uso Cifradores Certificados. Centro Criptológico Nacional, Guía STIC 003, 2006.

[CCN-STIC-103:2006]

Procedimientos: Catálogo de Productos con Certificación Criptológica Centro Criptológico Nacional, Guía STIC 103, 2006.

[CCN-STIC-150:2006]

Procedimientos: Evaluación y Clasificación Tempest de Cifradores con Certificación Criptológica. Centro Criptológico Nacional, Guía STIC 150 2006.

[CCN-STIC-151:2006]

Procedimientos: Evaluacin y Clasificacin Tempest de Equipos. Centro Criptológico Nacional, Guía STIC 151 2006.

[CCN-STIC-152:2006]

Procedimientos: Evaluacin y Clasificacin Zoning de Locales. Centro Criptológico Nacional, Guía STIC 152 2006.

[CCN-STIC-201:2006]

Normas: Organización y Gestión STIC. Centro Criptológico Nacional, Guía STIC 201 2006.

[CCN-STIC-202:2006]

Normas: Estructura y Contenido DRS. Centro Criptológico Nacional, Guía STIC 202 2006.

[CCN-STIC-203:2006]

Normas: Estructura y Contenido POS. Centro Criptológico Nacional, Guía STIC 203 2006.

[CCN-STIC-204:2006]

Normas: CO-DRS-POS Formulario Centro Criptológico Nacional, Guía STIC 204 2006.

[CCN-STIC-207:2006]

Normas: Estructura y Contenido del Concepto de Operación de Seguridad (COS). Centro Criptológico Nacional, Guía STIC 207 2006.

[CCN-STIC-301:2006]

Instrucciones Técnicas: Requisitos STIC. Centro Criptológico Nacional, Guía STIC 301 2006.

[CCN-STIC-302:2006]

Instrucciones Técnicas: Interconexión de CIS. Centro Criptológico Nacional, Guía STIC 302 2006.

[CCN-STIC-303:2006]

Instrucciones Técnicas: Inspección STIC. Centro Criptológico Nacional, Guía STIC 303 2006.

[CCN-STIC-400:2006]

Guías Generales: Manual de Seguridad de las TIC. Centro Criptológico Nacional, Guía STIC 400 2006.

[CCN-STIC-403:2006]

Guías Generales: Gestión de Incidentes de Seguridad. Centro Criptológico Nacional, Guía STIC 403 2006.

[CCN-STIC-404:2006]

Guías Generales: Control de Soportes Informáticos. Centro Criptológico Nacional, Guía STIC 404 2006.

[CCN-STIC-405:2006]

Guías Generales: Algoritmos y Parmetros de Firma Electrnica Centro Criptológico Nacional, Guía STIC 405 2006.

[CCN-STIC-406:2006]

Guías Generales: Seguridad de Redes Inalámbricas. Centro Criptológico Nacional, Guía STIC 406 2006.

[CCN-STIC-407:2006]

Guías Generales: Seguridad de Telefonía Móvil. Centro Criptológico Nacional, Guía STIC 407 2006.

[CCN-STIC-408:2006]

Guías Generales: Seguridad Perimetral – Cortafuegos. Centro Criptológico Nacional, Guía STIC 408 2006.

[CCN-STIC-414:2006]

Guías Generales: Seguridad en Voz sobre IP. Centro Criptológico Nacional, Guía STIC 414 2006.

[CCN-STIC-430:2006]

Guías Generales: Herramientas de Seguridad. Centro Criptológico Nacional, Guía STIC 430 2006.

[CCN-STIC-431:2006]

Guías Generales: Herramientas de Análisis de Vulnerabilidades. Centro Criptológico Nacional, Guía STIC 431 2006.

[CCN-STIC-432:2006]

Guías Generales: Seguridad Perimetral – Detección de Intrusos. Centro Criptológico Nacional, Guía STIC 432 2006.

[CCN-STIC-435:2006]

Guías Generales: Herramientas de Monitorización de Tráfico en Red. Centro Criptológico Nacional, Guía STIC 435 2006.

[CCN-STIC-512:2006]

Guías para Entornos Windows: Gestin de Actualizaciones de Seguridad en Sistemas Windows. Centro Criptológico Nacional, Guía STIC 512 2006.

[CCN-STIC-611:2006]

Guías para otros entornos: Configuración Segura (SuSE Linux). Centro Criptológico Nacional, Guía STIC 611 2006.

[CCN-STIC-612:2006]

Guías para otros entornos: Configuración Segura (Debian). Centro Criptológico Nacional, Guía STIC 612 2006.

[CCN-STIC-614:2006]

Guías para otros entornos: Configuración Segura (RedHat Enterprise AS 4 y Fedora). Centro Criptológico Nacional, Guía STIC 614 2006.

[CCN-STIC-641:2006]

Guías para otros entornos: Plantilla configuracin segura Routers CISCO. Centro Criptológico Nacional, Guía STIC 641 2006.

[CCN-STIC-642:2006]

Guías para otros entornos: Configuracin Segura (Switches Enterasys). Centro Criptológico Nacional, Guía STIC 642 2006.

[CCN-STIC-671:2006]

Guías para otros entornos: Configuracin Segura (Servidor Web Apache). Centro Criptológico Nacional, Guía STIC 671 2006.

[CCN-STIC-903:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 903 2006.

[CCN-STIC-951:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 951 2006.

[CCN-STIC-952:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 952 2006.

[CEM:2006]

Common Evaluation Methodology, version 3.1, revision 1, September 2006. Also published as [ISO/IEC 18405].

[CNSS-4009:2006]

NATIONAL INFORMATION ASSURANCE (IA) GLOSSARY. Committee on National Security Systems. CNSS Instruction No. 4009. Revised June 2006.

[COBIT:2006]

CobiT – Control Objectives, Management Guidelines, Maturity Models. IT Gobernance Institute. Version 4.0, 2006.

[FIPS-200:2006]

FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, March 2006.

[NIST7298:2006]

NIST IR 7298 Glossary of Key Information Security Terms, April 25, 2006.

[NIST-SP800-53:2006]

Recommended Security Controls for Federal Information Systems, NIST Special Publication 800-53, December 2006.

[NIST-SP800-88:2006]

Guidelines for Media Sanitization, NIST Special Publication 800-88, September 2006.

[NIST-SP800-100:2006]

Information Security Handbook: A Guide for Managers, NIST Special Publication 800-100, October 2006.

[ISO-11770-4:2006]

ISO/IEC 11770-4:2006, Information technology — Security techniques — Key management — Part 4: Mechanisms based on weak secrets, 2006.

[ISO-14888-3:2006]

ISO/IEC 14888-3:2006, Information technology — Security techniques — Digital signatures with appendix — Part 3: Discrete logarithm based mechanisms, 2006.

[ISO-18028-1:2006]

ISO/IEC 18028-1:2006, Information technology — Security techniques — IT network security — Part 1: Network security management, 2006.

[ISO-18028-2:2006]

ISO/IEC 18028-2:2006, Information technology — Security techniques — IT network security — Part 1: Network security architecture, 2006.

[ISO-18028-5:2006]

ISO/IEC 18028-5:2006, Information technology — Security techniques — IT network security — Part 5: Securing communications across networks using virtual private networks, 2006.

[ISO-18033-2:2006]

ISO/IEC 18033-2:2006, Information technology — Security techniques — Encryption algorithms — Part 2: Asymmetric ciphers 2006.

[ISO-18043:2006]

ISO/IEC 18043:2006, Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems. 2006.

[ISO-19790:2006]

ISO/IEC 19790:2006, Information technology — Security techniques — Security requirements for cryptographic modules. 2006.

[CCN-STIC-101:2005]

Procedimientos: Procedimiento de Acreditacin Nacional. Centro Criptológico Nacional, Guía STIC 101, 2005.

[EBIOS:2005]

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité

[NIST-SP800-38B:2005]

Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, NIST Special Publication 800-38B, May 2005.

[NIST-SP800-77:2005]

Guide to IPsec VPNs NIST Special Publication 800-77, December 2005.

[NIST-SP800-83:2005]

Guide to Malware Incident Prevention and Handling, NIST Special Publication 800-83, November 2005.

[ISO-11568:2005]

ISO 11568-1:2005, Banking — Key management (retail) — Part 1: Principles, 2005.

[ISO-11568-2:2005]

ISO 11568-2:2005, Banking — Key management (retail) — Part 2: Symmetric ciphers, their key management and life cycle, 2005.

[ISO-15443-1:2005]

ISO/IEC TR 15443:2005, Information technology — Security techniques — A framework for IT security assurance — Part 1: Overview and framework, 2005.

[ISO-17799:2005]

ISO/IEC 17799:2005, Information technology — Code of practice for information security management, 2005.

[ISO-18028-3:2005]

ISO/IEC 18028-3:2005, Information technology — Security techniques — IT network security — Part 3: Securing communications between networks using security gateways , 2005.

[ISO-18028-4:2005]

ISO/IEC 18028-4:2005, Information technology — Security techniques — IT network security — Part 4: Securing remote access, 2005.

[ISO-18031:2005]

ISO/IEC 18031:2005, Information technology — Security techniques — Random bit generation, 2005.

[ISO-18033-1:2005]

ISO/IEC 18033-1:2005, Information technology — Security techniques — Encryption algorithms — Part 1: General, 2005.

[ISO-18033-3:2005]

ISO/IEC 18033-3:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers 2005.

[ISO-18033-4:2005]

ISO/IEC 18033-4:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Stream ciphers 2005.

[ISO-27001:2005]

ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements, 2005.

[H.235:2005]

ITU-T H.235, Implementors Guide for H.235 V3: Security and encryption for H-series (H.323 and other H.245- based) multimedia terminals. (5 August 2005).

[X.509:2005]

ITU-T X.509, ISI/IEC 9594-8, Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks. 08/2005.

[Magerit-v2:2005]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 2.0, 2005.

[UNE-Guide73_es:2005]

Gestión del riesgo — Vocabulario — Directrices para la utilización en las normas, 2005.

[FIPS-199:2004]

FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004..

[NIST-SP800-27:2004]

Engineering Principles for Information Technology Security (A Baseline for Achieving Security), NIST Special Publication 800-27 Rev. A, June 2004.

[NIST-SP800-37:2004]

Guide for the Security Certification and Accreditation of Federal Information Systems, NIST Special Publication 800-37, May 2004.

[NIST-SP800-38C:2004]

Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality, NIST Special Publication 800-38C, May 2004.

[NIST-SP800-60V2:2004]

Volume II: Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories, NIST Special Publication 800-60, June 2004.

[NIST-SP800-61:2004]

Computer Security Incident Handling Guide, NIST Special Publication 800-61, January 2004.

[ISO-9798-5:2004]

ISO/IEC 9798-5:2004, Information technology — Security techniques — Entity authentication — Part 5: Mechanisms using zero-knowledge techniques, 2004.

[ISO-10118-3:2004]

ISO/IEC 10118-3:2004 Information technology — Security techniques — Hash-functions — Part 3: Dedicated hash-functions, 2004.

[ISO-13335-1:2004]

ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management, 2004.

[ISO-13888-1:2004]

ISO/IEC 13888-1:2004, IT security techniques — Non-repudiation — Part 1: General, 2004.

[ISO-15946-4:2004]

ISO/IEC 15946-4:2004 Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 4: Digital signatures giving message recovery, 2004.

[ISO-18044:2004]

ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management, 2004.

[UNE-71502:2004]

UNE 71502:2004, Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), 2004.

[CRAMM:2003]

CCTA Risk Analysis and Management Method (CRAMM), Version 5.0, 2003.

[NIST-SP800-55:2003]

Security Metrics Guide for Information Technology Systems, NIST Special Publication 800-55, July 2003.

[ISO-15782-1:2003]

ISO 15782-1:2003, Certificate management for financial services — Part 1: Public key certificates, 2003.

[X.805:2003]

ITU-T X.805, Security architecture for systems providing end-to-end communications, (10/03).

[Ley-59:2003]

Ley 59/2003, de 19 de diciembre, de firma electrónica.

[Octave:2003]

C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003.

[TDIR:2003]

Texas Department of Information Resources, Practices for Protecting Information Resources Assets, Revised September 2003.

[NIST-SP800-34:2002]

Contingency Planning Guide for Information Technology Systems, NIST Special Publication 800-34, June 2002.

[ISO-Guide73:2002]

Risk management — Vocabulary — Guidelines for use in standards, 2002.

[ISO-8825-1:2002]

ISO/IEC 8825-1:2002, Information technology — ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER), 2002.

[ISO-9796-2:2002]

ISO/IEC 9796-2:2002, Information technology — Security techniques — Digital signature schemes giving message recovery — Part 2: Integer factorization based mechanisms, 2002.

[ISO-14516:2002]

ISO/IEC TR 14516:2002, Information technology — Security techniques — Guidelines for the use and management of Trusted Third Party services, 2002.

[ISO-15816:2002]

ISO/IEC 15816:2002, Information technology — Security techniques — Security information objects for access control, 2002.

[ISO-15939:2002]

ISO/IEC 15939:2002, Software engineering — Software measurement process, 2002.

[ISO-15945:2002]

ISO/IEC 15945:2002, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures, 2002.

[ISO-15946-1:2002]

ISO/IEC 15946-1:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 1: General, 2002.

[ISO-15946-2:2002]

ISO/IEC 15946-2:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 2: Digital signatures, 2002.

[ISO-15946-3:2002]

ISO/IEC 15946-3:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 3: Key establishment, 2002.

[ISO-15947:2002]

ISO/IEC TR 15947:2002, Information technology — Security techniques — IT intrusion detection framework, 2002.

[ISO-18014-1:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 1: Framework 2002.

[ISO-18014-2:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 2: Mechanisms producing independent tokens 2002.

[H.530:2002]

ITU-H H.530, Symmetric security procedures for H.323 mobility in H.510. (03/02).

[FIPS-140-2:2001]

FIPS 140-2, Security Requirements for Cryptographic Modules, May 2001.

[NIST-SP800-33:2001]

Underlying Technical Models for Information Technology Security, NIST Special Publication 800-33, December 2001.

[NIST-SP800-38A:2001]

Recommendation for Block Cipher Modes of Operation – Methods and Techniques, NIST Special Publication 800-38A, Dec 2001.

[ISO-15292:2001]

ISO/IEC 15292:2001, Information technology – Security techniques – Protection Profile registration procedures, 2001.

[CIAO:2000]

Critical Infrastructure Assurance Office, Practices for Securing Critical Information Assets, January 2000.

[FIPS-186-2:2000]

FIPS 186-2, Digital Signature Standard (DSS), January, 2000.

[ISO-9000_es:2000]

Sistemas de gestión de la calidad — Conceptos y vocabulario, 2000.

[ISO-10118-1:2000]

ISO/IEC 10118-1:2000, Information technology — Security techniques — Hash-functions — Part 1: General, 2000.

[ISO-13335-4:2000]

ISO/IEC 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards, 2000.

[Directive-1999/93/EC:1999]

Directive 1999/93/EC of the European Parliament and the Council of 13 December 1999 on a Community framework for electronic signatures.

[FIPS-43-3:1999]

FIPS 43-3, Data Encryption Standard (DES), October 1999 (withdrawn May 19, 2005).

[ISO-8732:1999]

ISO 8732:1988/Cor 1:1999, Banking – Key management (wholesale), 1999.

[ISO-9797-1:1999]

ISO/IEC 9797-1:1999, Information technology — Security techniques — Message Authentication Codes (MACs) — Part 1: Mechanisms using a block cipher, 1999.

[ISO-2382-8:1998]

ISO/IEC 2382-8:1998, Information technology — Vocabulary — Part 8: Security, 1998.

[ISO-14888-1:1998]

ISO/IEC 14888-1:1998, Information technology — Security techniques — Digital signatures with appendix — Part 1: General, 1998.

[CESID:1997]

Centro Superior de Información de la Defensa, Glosario de Términos de Criptología, Ministerio de Defensa, 3ª edición, 1997.

[ISO-9798-1:1997]

ISO/IEC 9798-1:1997, Information technology — Security techniques — Entity authentication — Part 1: General, 1997.

[Magerit:1997]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 1.0, 1997.

[Ribagorda:1997]

A. Ribagorda, Glosario de Términos de Seguridad de las T.I., Ediciones CODA, 1997.

[ISO-10181-1:1996]

ISO/IEC 10181-1:1996, ITU-T X.810, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview, 1996.

[ISO-10181-2:1996]

ISO/IEC 10181-2:1996, ITU-T X.811, Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework, 1996.

[ISO-11770-1:1996]

ISO/IEC 11770-1:1996, Information technology — Security techniques — Key management — Part 1: Framework, 1996.

[ISO-11770-2:1996]

ISO/IEC 11770-2:1996, Information technology — Security techniques — Key management — Part 2: Mechanisms using symmetric techniques, 1996.

[X.790:1995]

ITU-T X.790, X.790 Trouble management function for ITU-T applications. (11/95).

[X.810:1995]

ITU-T X.810, ISO/IEC 10181-1:1996, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview. (11/95).

[IRM-5239-8:1995]

IRM-5239-08A, U.S. Marine Corps, Compuer Security Procedures, 1995.

[ITSEM:1993]

ITSEM – Information Technology Security Evaluation Manual. Commission of the European Communities. 1993.

[ITSEC:1991]

ITSEC – Information Technology Security Evaluation Criteria – Harmonized Criteria of France, Germany, the Netherlands, and the United Kingdom, Version 1.1, Published by Dept. of Trade and Industry, London, 1991.

[ISO-7498-2:1989]

ISO 7498-2:1989, ITU-T X.800, Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture, 1989.

[TCSEC:1985]

TCSEC – Trusted Computer Systems Evaluation Criteria, DoD 5200.28-STD, Department of Defense, United States of America, 1985

[FIPS-81:1980]

FIPS 81, DES Modes of Operation, December 1980 (withdrawn May 19, 2005).

[BLP:1976]

Bell, D. E. and LaPadula, L. J., Secure Computer Systems: Unified Exposition and Multics Interpretation, MTR-2997 Rev. 1, MITRE Corp., Bedford, Mass., March 1976.

Firma electrónica en UBL

1 respuesta

En el marco de OASIS se está trabajando para definir la recomendación de uso de la firma electrónica que se utilizará en los mensajes UBL.

El uso más obvio es el del mensaje «Order» (pedido) ya que habitualmente tiene carácter contractual, pero en el caso europeo, es importante también la firma de la factura electrónica (Invoice), por lo que este es el uso más inmediato de esta recomendación.

No se trata de definir una norma. De hecho la recomendación se alinea con la norma de ETSI TS 101 903.

Sin embargo, dada la amplitud de posibilidades en la generación de modelos de firma electrónica que se prevé en la norma y las dificultades que puede tener la adopción de sistemas de firma electrónica en un contexto internacional, definir una recomendación simplificará la interoperabilidad de los sistemas de facturación electrónica.

En mi posición, como miembro del grupo de trabajo que redactará la recomendación, me inclino por proponer firmas electrónicas desarrolladas en la modalidad «enveloped» de forma que al ser la firma un nodo XML del mensaje UBL no se dificulta el entendimiento del mensaje, incluso si el receptor no es capaz de gestionar firmas electrónicas.

Además el tipo de firma debería ser de tipo ES-X-L adjuntando la información de timestamping y validación en origen, de forma que el receptor no tenga que lidiar con un complejo sistema de prestadores de servicios de certificación, como el que existe en Europa, con diferentes lenguas que habría que entender.

Este tipo de firmas ya están contempladas en la actual norma facturae 3.1, por lo que, en cierto modo, ya estaría dado un pequeño paso en la convergencia de facturae 4.0 con UBL 3.0 (o UN/CEFACT Cross Industry Invoice 1.0, si es que finalmente se llama así la norma de CEFACT que parte de la UBL 2.1 de OASIS).

De momento ya hay una propuesta respecto a la forma de incluir firmas electrónica en los mensajes UBL 2.0. que ha desarrollado Oriol Bausà de Invinet.