Archivo de la categoría: Confidencialidad

EADTrust, la entidad líder en Digital Transaction Management (DTM)

Deja un comentario

El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.

Los componentes clave de un sistema DTM incluyen:

  1. Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
  2. Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
  3. Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
  4. Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
  5. Autenticación digital: Verificando la identidad de los participantes en las transacciones.
  6. Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
  7. Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.

Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:

  1. Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
  2. Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
  3. Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
  4. Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
  5. Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
  6. Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras

Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.

En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies: 

Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

La red temática Criptored cumple 15 años de vida, hoy 1 de diciembre

Deja un comentario

Un día como hoy hace quince años, el 1 de diciembre de 1999, comenzaba su andadura la primera red temática de habla hispana, Criptored, impulsada de forma incansable por su promotor Jorge Ramió.

Con tres lustros de existencia, su actividad y servicio ofrecido a la comunidad pueden resumirse en los siguientes datos, contrastables a fecha de hoy con un simple recorrido a través de su servidor web: 990 miembros de 255 universidades y empresas del sector de la seguridad TIC de 23 países, más de 1.600 visitas diarias con cerca de 1.500 documentos pdf y zip descargados cada día, más de 15.000 visualizaciones al mes de su documentación multimedia, 7 congresos de seguridad CIBSI y 2 Talleres de Enseñanza TIBETS organizados en Latinoamérica, así como la celebración de 5 congresos DISI con la Cátedra UPM Applus+ en Madrid.

En el apartado formación, un total de 209 alumnos han pasado por sus aulas virtuales en las 3 ediciones celebradas del curso Online de Seguridad Informática y Ciberdefensa, y casi medio millón de alumnos han participado en sus 4 cursos gratuitos del MOOC Crypt4you, pionero además en lengua hispana de esta modalidad de enseñanza abierta.

Los proyectos enciclopedia gráfica de la seguridad de la información Intypedia y píldoras formativas Thot, con centenas y decenas de miles -respectivamente- de visitas en el canal YouTube de la UPM, junto a otros vídeos producidos por Criptored como por ejemplo 46 de las 74 conferencias UPM TASSI, superan el millón de reproducciones y significan el 16,5% de todas las visualizaciones de dicho canal. Finalmente, este año 2014 ha visto la luz el proyecto MESI, Mapa de Enseñanza de la Seguridad de la Información, cuya versión 2.0 se publicará próximamente.

Todo ello ha significado que ya en noviembre de 2014 se supere por primera vez la cifra de 1 Terabyte anual de información servida. Unos números en los que la participación de sus miembros, de sus colaboradores directos y la excelente acogida por parte de los medios de difusión de la seguridad TIC en Internet, han sido fundamentales.

Visita:
http://www.criptored.upm.es/

WebID 1.0 – Web Identification and Discovery

Deja un comentario

Source: WebID

Authors:
Toby Inkster
Henry Story
Bruno Harbulot
Reto Bachmann-Gmür
Editors:
Manu Sporny, Digital Bazaar, Inc. msporny@digitalbazaar.com
Stéphane Corlosquet, Massachusetts General Hospital scorlosquet@gmail.com

Social networking, identity and privacy have been at the center of how we interact with the Web in the last decade. The explosion of social networking sites has brought the world closer together as well as created new points of pain regarding ease of use and the Web. Remembering login details, passwords, and sharing private information across the many websites and social groups that we are a part of has become more difficult and complicated than necessary. The Social Web is designed to ensure that control of identity and privacy settings is always simple and under one’s control. WebID is a key enabler of the Social Web. This specification outlines a simple universal identification mechanism that is distributed, openly extensible, improves privacy, security and control over how one can identify themselves and control access to their information on the Web.

It is a fundamental design criteria of the Web to enable individuals and organizations to control how they interact with the rest of society. This includes how one expresses their identity, public information and personal details to social networks, Web sites and services.

Semantic Web vocabularies such as Friend-of-a-Friend (FOAF) permit distributed hyperlinked social networks to exist. This vocabulary, along with other vocabularies, allow one to add information and services protection to distributed social networks.

One major criticism of open networks is that they seem to have no way of protecting the personal information distributed on the web or limiting access to resources. Few people are willing to make all their personal information public, many would like large pieces to be protected, making it available only to a selected group of agents. Giving access to information is very similar to giving access to services. There are many occasions when people would like services to only be accessible to members of a group, such as allowing only friends, family members, colleagues to post an article, photo or comment on a blog. How does one do this in a flexible way, without requiring a central point of access control?

Using a process made popular by OpenID, we show how one can tie a User Agent to a URI by proving that one has write access to the URI. WebID is an authentication protocol which uses X.509 certificates to associate a User Agent (Browser) to a Person identified via a URI. WebID is compatible with OpenID and provides a few additional features such as trust management via digital signatures, and free-form extensibility via RDF. By using the existing SSL certificate exchange mechanism, WebID integrates smoothly with existing Web browsers, including browsers on mobile devices. WebID also permits automated session login in addition to interactive session login. Additionally, all data is encrypted and guaranteed to only be received by the person or organization that was intended to receive it.

Sonrisas y Lágrimas

2 respuestas

La sección «sonrisas y lágrimas» era una de las más interesantes del portal «Abog.net» que ha impulsado durante muchos años el pionero Joaquín Rosés, hasta hace poco tiempo. Ahora el portal es una página de testimonio de aquel esfuerzo aunque puede accederse a la historia del portal a traves de archive.org

Sin embargo, a veces se encuentran algunas perlas como este Atestado Policial en otros blogs y portales.

Este caso, recogido por Dinintel, demuestra que es conveniente centrarse en una sola actividad cada vez si se quieren hacer bien las cosas.

 

.

Securewave Sanctuary Device Control.

1 respuesta

Mensaje para directivos y responsables de seguridad.

  • Evite que los empleados se lleven ficheros y documentos de la empresa sin su consentimiento.
  • Publique y haga cumplir sus políticas de gestión de la información.

Hay normas como la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) que imponen ciertas obligaciones a las empresas respecto a las medidas de seguridad que deben seguir.

Lo que pretende esa norma es proteger los datos de las personas, que pueden verse sometidos al abuso de un tratamiento indiscriminado en manos de empresas de marketing y publicidad, especialmente con las posibilidades de tratamiento masivo que dan los ordenadores. Sin embargo, las medidas de seguridad que impone su Reglamento (de momento el Reglamento de la anterior LORTAD, aunque se espera la próxima publicación del Reglamento específico de la LOPD) son de gran utilidad para proteger otros tipos de información.

Controles de Sanctuary Device ControlUno de los riesgos que han aparecido recientemente es el de los dispositivos de almacenamiento (como memorias y discos duros) que son utilizables mediante puertos USB. Y puesto que prácticamente todos los ordenadores tienen puertos USB, la información de la empresa (tanto la que está en el disco local del ordenador como la que está en los servidores de ficheros y en la intranet) corre el riesgo de acabar en uno de esos dispositivos.

La empresa Securewave, cuyos productos distribuye mi empresa Albalia Interactiva ha creado diferentes aplicaciones de seguridad, de las que la más interesante, para atajar el problema que he descrito, es Sancturay Device Control.

Sancturay Device Control es una aplicación ligera que se instala en cada ordenador de la organización y controla los diferentes dispositivos que se le conectan y la información que entra y sale por ellos.

Se gestiona centralizadamente en entornos de red Microsoft que dispongan de Active Directory y permite dar permisos de acceso a periféricos (CD, DVD, Floppy, memory sticks ..) relacionados con grupos de usuarios o de máquinas.

Estos permisos de acceso pueden ser del tipo escritura, lectura o temporales, e incluso en relación con la cantidad máxima de información que se puede insertar o extraer de ellos diariamente. Para usuarios cuyo perfil deba permitir que no se impongan limitaciones, el sistema permite controlar la natiraleza exacta de los ficheros que entran y salen de los dispositivos.

Esta herramienta, de muy bajo coste unitario por licencia (menos de 100 euros, aunque depende del número de unidades adquiridas en una determinada instalación) es una ayuda esencial para poder dar cumplimiento a algunas de las obligaciones de la LOPD que eran muy difíciles de satisfacer hasta fechas recientes.

La percepción de seguridad

2 respuestas

En el fondo es un problema de confianza, no de seguridad.

El hecho de que los phishers puedan hacerse su propio certificado de servidor web y simular un entono seguro con SSL ya empieza a preocupar a los usuarios y a desmitificar la supuesta seguridad de este protocolo.

Entendedme, no estoy en contra del SSL: garantiza el cifrado de las comunicaciones entre el servidor y el navegador, pero poco más.

No garantiza que la URL a la que accedemos sea la del servidor. De hecho, hay bancos que usan el certificado de seguro.banco.com en http://www.banco.com o viceversa, y el usuario está acostumbrado a decir OK al aviso de alarma del navegador. 

No garantiza que el certificado que aparece emitido por una autoridad de certificación, esté de verdad emitido por ella. De hecho al certificado autofirmado que nos hacemos cuando creamos la root puede contener los datos que la inspiración nos haya dictado en ese momento, como Verisign, FNMT o Moncloa

Muchos PSC (Prestadores de Servicios de Certificación) de plena confianza no está incluidos en el repositorio de confianza del navegador, por lo que nos crean malos hábitos como el de dar por buena cualquier instalación de root en nuestro sistema que nos sale al paso.  

En definitiva: tenemos que hacer algo más para lograr la confianza que la ¿falsa? sensación de seguridad que da el candadito que señala el funcionamiento del SSL. 

Interceptación legal de las Telecomunicaciones

5 respuestas

Ya es legal interceptar las telecomunicaciones.

El Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. (publicado en el BOE núm. 102, de 29-04-2005, pp. 14545-14588) establece en su sección terecera el régimen de interceptación de las telecomunicaciones.  

Sorprende el poco eco que ha tenido la publicación de esta norma (incluyo en forma de comentario toda la sección referida a la interceptación de las telecomunicaciones)