Archivo de la categoría: Conformidad normativa

Las TIC en la Justicia del futuro

1 respuesta

La Justicia es uno de los sectores de la Administración que se enfrenta a un mayor número de retos, derivados de la creciente complejidad de la sociedad española y de su propia organización. Sin embargo, al ser un área intensiva en información, es una de las que más puede beneficiarse del uso de las Tecnologías de la Información y las Comunicaciones (TIC).

La Justicia en España puede sufrir un importante salto positivo cuando se pongan en marcha los tres procesos básicos de esta transformación: el cambio tecnológico, el organizativo y el cultural. Los tres son imprescindibles para conseguir un uso eficiente de las nuevas tecnologías. Tres son también los agentes principales en el impulso de esta nueva Justicia: el Ministerio de Justicia, el Consejo General del Poder Judicial y las Comunidades Autónomas. Todos entienden la importancia del uso de las TIC y existe un amplio consenso respecto a la modernización de la Justicia, en torno a dos elementos básicos, la nueva oficina judicial y el expediente electrónico.

La Fundación Telefónica ha publicado un interesante documento sobre los retos de la Justicia y las soluciones que las tecnologías pueden aportar. Está disponible on-line su Resumen Ejecutivo.

Orden por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

1 respuesta

Estando en vigor el Real Decreto Ley 14/1999, de 17 de septiembre, sobre firma electrónica (derogado por la Ley 59/2003, de 19 de diciembre, de firma electrónica, se publicó la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

Aunque esta Orden está derogada por la DISPOSICIÓN DEROGATORIA ÚNICA de la Ley 59/2003, es interesante conocerla y especular sobre cual será la norma que ocupe su rol, en desarrollo de la DISPOSICIÓN FINAL SEGUNDA de la Ley 59/2003.

Sobre todo ahora que la normativa sobre firma electrónica comienza a hacerse tan extensa, fragmentada y en ocasiones contradictoria, especialmente tras la publicación de la Ley 11/2007, y su normativa relacionada.

Este es el texto original de la norma, que recordemos, no está vigente.

El Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, que se redactó tomando en consideración la posición común del Consejo de Ministros de Telecomunicaciones de la Unión Europea sobre la Directiva por la que se establece un marco comunitario para la firma electrónica, finalmente aprobada el 13 de diciembre de 1999, prevé el establecimiento de sistemas voluntarios para la acreditación de prestadores de servicios de certificación y para la evaluación de la conformidad de los productos de firma electrónica con los requisitos que exige.

A este respecto, el artículo 6 del Real Decreto-ley 14/1999, de 17 de septiembre, establece que las normas que regulen los sistemas de acreditación y de certificación deberán ser objetivas, razonables y no discriminatorias. Igualmente, señala que las funciones de certificación a que se refiere dicho Real Decreto-ley serán ejercidas por los órganos, en cada caso competentes, referidos en la Ley 11/1998, de 24 de abril, General de Telecomunicaciones; en la Ley 21/1992, de 16 de julio, de Industria, y en la demás legislación vigente sobre la materia. Por su parte, elartículo 22 del Real Decreto-ley 14/1999, de 17 de septiembre, establece que el Real Decreto al que se refiere el artículo 6 de aquel determinará los términos en los que podrá certificarse la conformidad de los dispositivos de verificación de firma electrónica avanzada con los requisitos indicados en dicho artículo 22.

El Real Decreto-ley 16/1999, de 15 de octubre, por el que se adoptan medidas para combatir la inflación y facilitar un mayor grado de competencia en las telecomunicaciones, habilita al Ministro de Fomento para desarrollar, mediante Orden, los artículos 622 del Real Decreto-ley 14/1999, de 17 de septiembre. En ejercicio de la citada habilitación, se aprueba este Reglamento. A través de esta norma, el Ministerio de Fomento cumple el mandato legal contenido en el artículo 68.1.a) de la Ley 11/1998, de 24 de abril, General de Telecomunicaciones, de acercar al ciudadano los nuevos servicios de la sociedad de la información, dando a éstos un elemento adicional de seguridad en la firma electrónica.

Con el establecimiento de estos sistemas, se persigue fomentar la adopción de prácticas que garanticen que los servicios y productos relacionados con la firma electrónica se ofrecen al público en unas condiciones satisfactorias de calidad y seguridad técnica. La acreditación y la certificación funcionarán así, como un sello de calidad de los prestadores de servicios y productos de firma electrónica que las obtengan, permitiendo incrementar la confianza de los usuarios en la utilización de esta nueva garantía para las comunicaciones y el comercio electrónico.

En este Reglamento se regula el funcionamiento de los sistemas de acreditación y de certificación que, tal como han sido diseñados por el Real Decreto-ley 14/1999, de 17 de septiembre, giran en torno a tres clases de órganos, entidades u organismos, a saber: Los órganos competentes para la acreditación de prestadores y la emisión de certificados de conformidad de productos de firma electrónica, las entidades encargadas de evaluar y emitir informe o certificado y el organismo independiente al que se encomienda la acreditación de dichas entidades de evaluación, cuya designación se lleva a cabo en este Reglamento. Así mismo, se determina el régimen jurídico de las acreditaciones y certificados de conformidad, los requisitos para su obtención y las condiciones para el reconocimiento de los expedidos en otros Estados.

En la elaboración de esta norma, se han tenido en cuenta los modelos de certificación ya existentes para la evaluación de la conformidad de productos afines y los esquemas que esten siendo desarrollados en el ámbito europeo para la evaluación de la seguridad de las tecnologías de la información y las comunicaciones.

Esta disposición ha sido sometida al procedimiento de información en materia de normas y reglamentaciones técnicas y de reglamentos relativos a los servicios de la sociedad de la información, previsto en la Directiva 98/34/CE, del Parlamento Europeo y del Consejo, de 22 de junio, modificada por la Directiva 98/48/CE, de 20 de julio, y en el Real Decreto 1337/1999, de 31 de julio, que incorpora estas Directivas al ordenamiento jurídico español.

Por otra parte, en la disposición adicional única se introducen algunas modificaciones de la Orden de 14 de octubre de 1999, por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones. En primer lugar, se de una mayor coherencia al contenido del artículo 2, evitando que la aplicación de la Orden a los operadores afectados por la transformación de sus títulos se produzca en fecha posterior a la prevista para los que hayan accedido directamente, a partir de 1 de diciembre de 1998, a la licencia individual. Además, se añade una nueva disposición adicional a la Orden de calidad, por la que se faculta al Secretario general de Comunicaciones para modificar el anexo 1 de dicha Orden. Con objeto de posibilitar una rápida adopción de las definiciones y métodos de medida que apruebe el Instituto Europeo de Normalización de Telecomunicaciones (ETSI) en sustitución de los actualmente vigentes. Finalmente, se incluyen dos modificaciones del artículo 9 para adaptar el cuerpo de la Orden a la norma del ETSI sobre definiciones y métodos de medida y se corrigen dos errores del anexo II.

En su virtud, de acuerdo con el Consejo de Estado, dispongo:

Artículo Único. Aprobación del Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

En desarrollo de los artículos 622 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica, se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, que figura como anexo a esta Orden.

DISPOSICIÓN ADICIONAL ÚNICA. Modificación de la Orden de 14 de octubre de 1999 por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones.

Uno. Se rectifican incorrecciones y se salvan errores en la Orden de 14 de octubre de 1999, por la que se regulan las condiciones de calidad en la prestación de los servicios de telecomunicaciones, en los siguientes términos:

  • En el inciso final del artículo 2, apartado 1, letra b), donde dice: … desde el otorgamiento de la licencia., debe decir: … desde el inicio de la prestación del servicio.
  • En el inciso final del artículo 2, apartado 1, letra c), donde dice: … desde su otorgamiento., debe decir: … desde el inicio de la prestación del servicio.
  • En el artículo 9, apartado 1, letra g), donde dice: Inferior a tres segundos para el 95 % de las llamadas, debe decir: Inferior a cinco segundos para el 95 % de las llamadas o un valor medio inferior a tres segundos.
  • Se suprime el subapartado f.3) del apartado 1 del artículo 9 y el subapartado f.2) queda redactado de la siguiente manera: f.2) Internacionales: Inferior al 2,5 %.
  • En el anexo II, apartado 1, subapartado Medida, primer párrafo, donde dice: La medida se expresará en días naturales, debe decir: La medida se expresará en días laborables.
  • En el anexo II, apartado 3, subapartado Medida, primer párrafo, donde dice: … se medirá en horas de reloj, debe decir: … se medirá en horas laborables.

Dos. Se añade una nueva disposición adicional, con la siguiente redacción:

Disposición adicional sexta. Autorización al Secretario general de Comunicaciones para modificar el anexo I.

Se faculta al Secretario general de Comunicaciones para modificar el contenido del anexo I de esta Orden, al objeto de armonizarlo con las definiciones y métodos de medida de los parámetros requeridos por la Directiva 98/10/CE del Parlamento Europeo y del Consejo sobre la aplicación de la oferta de red abierta a la telefonía vocal y sobre el servicio universal de telecomunicaciones en un ámbito competitivo, que se adopten por las Instituciones europeas en sustitución de los contenidos en el documento ETSI ETR 138, que figura actualmente referido en el anexo III de dicha Directiva, y a establecer los plazos necesarios para su aplicación.

DISPOSICIÓN FINAL ÚNICA. Entrada en vigor.

La presente Orden entrará en vigor transcurrido el plazo de un mes desde su publicación en el Boletín Oficial del Estado.

Madrid, 21 de febrero de 2000.

Arias-Salgado Montalvo,
Ilmo. Sr. Secretario general de Comunicaciones.

ANEXO.
REGLAMENTO DE ACREDITACIÓN DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN Y DE CERTIFICACIÓN DE DETERMINADOS PRODUCTOS DE FIRMA ELECTRÓNICA.

CAPÍTULO I.
SISTEMA DE ACREDITACIÓN Y DE CERTIFICACIÓN.

Artículo 1. Fin, objeto y ámbito de aplicación.

1. El fin de este Reglamento es lograr un adecuado grado de seguridad, calidad y confianza en la prestación de servicios de certificación y proteger debidamente los derechos de los usuarios, estableciendo los sistemas de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.

2. Es objeto de este Reglamento la regulación del sistema de acreditación de prestadores de servicios de certificación y de certificación de los productos de firma electrónica respecto de los que es competente la Secretaría General de Comunicaciones del Ministerio de Fomento.

3. El sometimiento a los sistemas de acreditación y de certificación regulados en este Reglamento será voluntario.

Artículo 2. Órgano de acreditación y certificación.

1. La Secretaría General de Comunicaciones del Ministerio de Fomento es el órgano competente para, salvaguardando la seguridad en las comunicaciones, acreditar a los prestadores de servicios de certificación y certificar los productos de firma electrónica a los que se refiere el apartado siguiente.

2. La competencia de la Secretaría General de Comunicaciones para certificar productos de firma electrónica se ejercerá sobre aquellos que cumplan las siguientes condiciones:

  • Que estén destinados a conectarse directa o indirectamente a los puntos de terminación de una red pública de telecomunicaciones, con el objeto de enviar, procesar o recibir señales.
  • Que estén destinados a garantizar la seguridad de cualquier tipo de información que se transmita por vía electrónica por redes de telecomunicaciones.

3. Se entiende que estas circunstancias concurren, especialmente, en los dispositivos de creación de firma y en los de verificación de firma electrónica avanzada.

4. Respecto de los productos de firma electrónica en los que no se den las condiciones previstas en el apartado 2, su certificación se llevará a cabo con arreglo a la Ley 21/1992, de 16 de julio, de Industria.

Artículo 3. Evaluación previa de prestadores de servicios y productos de firma electrónica.

1. El otorgamiento de la correspondiente acreditación o del certificado de conformidad por la Secretaría General de Comunicaciones, exigirá la previa evaluación del prestador de servicios o la del producto de firma electrónica para los que se solicite, realizada por una entidad facultada para actuar conforme al artículo 6.5 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica y a este Reglamento. Al término de la evaluación efectuada, dicha entidad emitirá un certificado de cumplimiento de los requisitos exigibles o un informe de evaluación, según lo que dispongan las normas aplicables en cada caso. En esta norma, salvo que otra cosa se exprese, las expresiones informeinforme de evaluación se referirán tanto al certificado como al informe propiamente dicho.

2. El informe de evaluación describirá el procedimiento y las normas aplicadas para llevarla a cabo, así como los resultados de las pruebas efectuadas. Este informe será entregado a la persona o entidad que haya solicitado la evaluación.

Artículo 4. Contenido de las resoluciones de acreditación o de certificación.

Las resoluciones por las que se acredite a los prestadores del servicio de firma electrónica o se certifiquen los productos, confirmarán que la evaluación se ha realizado correctamente de acuerdo con las normas establecidas en este Reglamento y que la conclusión alcanzada es coherente con los resultados de la evaluación practicada. Cuando este Reglamento establezca otros requisitos para la acreditación de un prestador de servicios o la certificación de un producto de firma electrónica, la resolución también confirmará su cumplimiento.

CAPÍTULO II.
ENTIDADES DE EVALUACIÓN.

Artículo 5. Independencia de las entidades de evaluación.

Las entidades de evaluación de prestadores de servicios de certificación y de productos de firma electrónica no podrán tener relación de dependencia alguna con los prestadores de servicios ni con los fabricantes o importadores de productos de firma electrónica que soliciten su intervención en el proceso de acreditación o certificación.

Artículo 6. Acreditación de las entidades de evaluación.

1. Podrán actuar como entidades de evaluación de prestadores de servicios de certificación y de productos de firma electrónica, los organismos públicos o privados que hayan sido acreditados por la Entidad Nacional de Acreditación (ENAC) o por cualquier otra entidad de acreditación, en el marco del esquema común de acreditación promovido por la Unión Europea.

2. Con carácter previo al inicio de la actividad de acreditación prevista en el apartado anterior, se firmará el Convenio de colaboración previsto en el artículo 11 de este Reglamento.

Artículo 7. Procedimiento de acreditación de las entidades de evaluación.

1. Para la acreditación de las entidades de evaluación, la ENAC tomará en consideración los siguientes aspectos:

  1. La forma en que garantizan su independencia respecto a los fabricantes o importadores de productos de firma electrónica y prestadores de servicios sometidos a evaluación.
  2. Su competencia técnica.
  3. Sus locales y equipos.
  4. Los procedimientos de trabajo que emplean.

Los aspectos referidos en las letras b), c) y d) se valorarán en función de la actividad para la que las entidades de evaluación soliciten su acreditación.

2. Los aspectos relacionados en el apartado anterior se valorarán de acuerdo con las normas que, a propuesta de la ENAC, se determinen por la Secretaría General de Comunicaciones, mediante resolución publicada en el Boletín Oficial del Estado, respetando el siguiente orden de prelación:

  1. Normas, especificaciones o recomendaciones aprobadas por organismos europeos, que sean generalmente aplicadas en la industria.
  2. Normas, especificaciones o recomendaciones adoptadas por organismos internacionales, generalmente aplicadas.
  3. Normas nacionales generalmente aplicadas.

3. La acreditación se otorgará para la evaluación de prestadores de servicios o de productos de firma electrónica, o para ambos fines, si la entidad de evaluación estuviera suficientemente capacitada para su realización.

4. La ENAC comunicará a la Secretaría General de Comunicaciones las acreditaciones de entidades de evaluación que otorgue, en los términos que se establezcan en el Convenio de colaboración previsto en el artículo 11.

Artículo 8. Obligaciones de las entidades de evaluación.

Las entidades de evaluación deberán cumplir las obligaciones que les sean exigibles entre las establecidas en el capítulo III del Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial, aprobado por el Real Decreto 2200/1995, de 28 de diciembre, y las que a continuación se establecen:

  • Facilitar información actualizada a cualquier persona que lo solicite, en relación con la función de evaluación (evaluación de prestadores o de productos) para la que hayan obtenido la acreditación.
  • Abonar los gastos originados por la evaluación realizada para su acreditación como entidad de evaluación.
  • No utilizar la acreditación de manera que pueda perjudicar la reputación del organismo evaluador de la misma.
  • Cesar inmediatamente en el uso de la acreditación a partir de la fecha en que ésta sea retirada.
  • Indicar, con la mayor claridad posible y en todos los contratos celebrados con sus clientes, que cualquiera de los exámenes e informes previos que se realicen, no implican, de manera alguna, una aprobación por la Secretaría General de Comunicaciones del prestador o producto evaluado.

Artículo 9. Vigencia de las acreditaciones.

La ENAC fijará el periodo de validez de las acreditaciones, de conformidad con lo establecido en el artículo 17.f) del Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial. Asimismo, tendrá en cuenta la actividad para la que se acredite a una entidad de evaluación y la tecnología utilizada por ésta.

Artículo 10. Extinción de las acreditaciones.

1. La acreditación de la entidad de evaluación se extinguirá por las siguientes causas:

  1. El vencimiento del plazo por el que se otorgó.
  2. La renuncia expresa del interesado.
  3. El cese de actividad por la entidad de evaluación.

2. La extinción de la acreditación será declarada por la entidad de acreditación prevista en el artículo 6.

CAPÍTULO III.
ÓRGANO DE ACREDITACIÓN Y CERTIFICACIÓN Y COORDINACIÓN CON OTROS SISTEMAS DE CERTIFICACIÓN.

Artículo 11. Régimen de colaboración entre la Secretaría General de Comunicaciones y la Entidad Nacional de Acreditación.

Entre la Secretaría General de Comunicaciones y la ENAC, se celebrará un convenio de colaboración para determinar el régimen de información y cooperación mutua en cuanto al otorgamiento de acreditaciones y el control posterior de las entidades de evaluación que pueda realizarse. Igualmente, se establecerá la participación de los representantes de la Secretaría General de Comunicaciones en los órganos gestores de la ENAC.

Artículo 12. Funciones del órgano de acreditación y certificación.

La Secretaría General de Comunicaciones velará por el correcto funcionamiento del sistema de acreditación y certificación. Para ello, y sin perjuicio de lo que se estipule en el Convenio de colaboración con la ENAC, la Secretaría General de Comunicaciones podrá realizar o encargar exámenes sobre prestadores de servicios acreditados o los productos de firma electrónica certificados, con el fin de comprobar que se mantienen todos los requisitos en función de los cuales se otorgó la correspondiente acreditación o certificación.

A tal fin, los prestadores de servicios de certificación, deberán colaborar con los agentes o el personal inspector de la Secretaría General de Comunicaciones, en los términos establecidos en elartículo 17 del Real Decreto-Ley 14/1999, de 17 de septiembre.

Artículo 13. Coordinación con otros sistemas de acreditación y certificación.

El sistema de acreditación y certificación previsto en este Reglamento, podrá ser coordinado con otros establecidos para la evaluación de la seguridad de las tecnologías de la información o de los productos de firma electrónica respecto de los que la Secretaría General de Comunicaciones no actúe como órgano de acreditación o certificación, mediante el intercambio de información, el envío de observadores, la armonización, hasta donde sea posible, de los criterios de evaluación aplicados u otras medidas orientadas al aprovechamiento conjunto de conocimientos y experiencias. El alcance de dichas medidas podrá ser concretado, mediante la celebración de un convenio de colaboración entre los responsables de los distintos sistemas de acreditación y certificación mencionados.

CAPÍTULO IV.
ACREDITACIÓN DE PRESTADORES DE SERVICIOS DE CERTIFICACIÓN.

Artículo 14. Concepto de prestador de servicios de certificación.

Los prestadores de servicios de certificación de firma electrónica que lo deseen pueden solicitar su acreditación, especificando el ámbito, general o referido a una o varias actividades concretas, para el que requieran la acreditación. A los efectos de este Reglamento, son prestadores de servicios de certificación:

  • Las personas físicas o jurídicas que expidan certificados al público.
  • Las personas físicas o jurídicas que, además de expedir certificados al público, presten otros servicios relacionados con la firma electrónica, como los de consignación de fecha y hora, los de directorio o los de archivo de documentos electrónicos.

Artículo 15. Acreditación de los prestadores de servicios que expidan certificados al público.

1. Para la acreditación de los prestadores que expidan certificados reconocidos al público, se exigirá el cumplimiento de los requisitos establecidos en los artículos 1112 del Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica. El cumplimiento de la obligación establecida en el artículo 1 2.g) del Real Decreto-ley 14/1999, de 17 de septiembre, será controlado, en todo caso, por la Secretaría General de Comunicaciones.

Los prestadores de servicios de certificación que no expidan certificados reconocidos, podrán ser acreditados sí cumplen las condiciones previstas en el artículo 11 del Real Decreto-ley 14/1999, de 17 de septiembre, sobre firma electrónica.

2. En ambos casos, podrán reconocerse distintos niveles de acreditación, en función de lo que se establezca en las normas a las que se refiere el artículo 17.

Artículo 16. Requisitos para la acreditación de prestadores de servicios relacionados con la firma electrónica, distintos de la emisión de certificados.

1. Los prestadores de servicios que, además de emitir certificados al público, presten algún otro servicio relacionado con la firma electrónica, podrán solicitar que su acreditación comprenda éstos. La acreditación se otorgará si, de acuerdo con el informe emitido por la entidad de evaluación, desarrollan la actividad de que se trate con un grado suficiente de fiabilidad. podrán reconocerse distintos niveles de acreditación, en función de lo que se establezca en las normas a las que se refiere el artículo 17.

2. En la acreditación de las personas que presten un servicio de consignación de fecha y hora, se valorarán especialmente el grado de exactitud de los datos temporales que constaten, la disponibilidad de éstos para las partes y los mecanismos empleados para evitar su alteración.

Artículo 17. Criterios y normas aplicables para la evaluación de prestadores de servicios.

Las entidades de evaluación determinarán el cumplimiento de las condiciones previstas para la acreditación de los prestadores de servicios de certificación conforme a las normas que se indiquen en el Diario Oficial de las Comunidades Europeas. En su defecto, se aplicarán las normas que determine la Secretaría General de Comunicaciones y cuyos números de referencia se publiquen en el Boletín Oficial del Estado. Para su fijación, se respetará el orden de prelación establecido en el artículo 7.2 de este Reglamento.

Artículo 18. Solicitud de la acreditación.

1. El prestador de servicios que esté interesado en obtener una acreditación deberá presentar, en cualquiera de los lugares indicados en el artículo 38.4 de la Ley 30/1992, una solicitud dirigida a la Secretaría General de Comunicaciones, que contenga los elementos indicados en el artículo 70 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

2. A dicha solicitud, deberá adjuntar el informe de evaluación emitido por la entidad de evaluación acreditada que hubiera examinado la actividad para la que pide la acreditación.

Artículo 19. Resolución del órgano de acreditación.

1. La Secretaría General de Comunicaciones otorgará la acreditación solicitada si el procedimiento aplicado para la evaluación es el adecuado para la actividad de que se trate y se cumplen los demás requisitos incluidos en este Reglamento para obtener la acreditación.

2. Si considera que el procedimiento o las normas aplicadas son inadecuados, indicará al prestador de servicios, mediante resolución, qué pruebas han de realizarse o qué normas deben aplicarse para que el procedimiento de evaluación pueda ser aceptado.

3. El plazo máximo de resolución y notificación será de seis meses, contados desde que la solicitud del prestador haya tenido entrada en cualquiera de los registros del Ministerio de Fomento. Si la Secretaría General de Comunicaciones no hubiera notificado la resolución en este plazo, el prestador de servicios podrá entender estimada su solicitud.

4. Las resoluciones de acreditación de prestadores de servicios de certificación serán publicadas en el Boletín Oficial del Estado y notificadas a la Comisión Europea, de acuerdo con lo dispuesto en la normativa comunitaria.

Artículo 20. Contenido y vigencia de la acreditación.

1. La resolución por la que se otorgue la acreditación a un prestador de servicios obligará a éste a mantener, en todo momento, los requisitos con arreglo a los cuales consiguió su acreditación.

2. La acreditación tendrá una vigencia de cuatro años. A su vencimiento, podrá ser renovada por períodos iguales, siempre que se constate, mediante informe favorable de una entidad de evaluación, que el prestador sigue cumpliendo las condiciones exigibles para su acreditación. Será aplicable a este supuesto, lo dispuesto en el artículo 19, en cuanto al plazo máximo de resolución y notificación y al sentido del silencio administrativo.

Artículo 21. Modificación de la acreditación.

1. Los prestadores de servicios podrán solicitar la revisión de su acreditación con el fin de acceder a un nivel distinto, si demuestran, mediante informe favorable de una entidad de evaluación, que reúnen las condiciones necesarias para ello. El plazo para resolver sobre dicha solicitud será de seis meses y el silencio administrativo, si lo hubiere, será positivo.

2. La resolución de acreditación podrá ser modificada, cuando los prestadores dejen de cumplir las condiciones establecidas para cada tipo de acreditación. La resolución de modificación será dictada en expediente contradictorio, en el plazo de seis meses.

3. Las resoluciones por las que la Secretaría General de Comunicaciones renueve, de acuerdo con el artículo anterior, amplie o rebaje la acreditación de un prestador de servicios, se publicarán en el Boletín Oficial del Estado y serán notificadas a la Comisión Europea, de acuerdo con lo dispuesto en la normativa comunitaria.

Artículo 22. Extinción de la acreditación.

1. La acreditación de un prestador de servicios se extinguirá por las siguientes causas:

  1. El vencimiento de su plazo de otorgamiento, sin que se haya solicitado su renovación.
  2. La renuncia expresa del prestador de servicios.
  3. El cese en la actividad de certificación de que se trate, del prestador de servicios.

2. La extinción de la acreditación será declarada por la Secretaría General de Comunicaciones, una vez constatada.

3. La resolución por la que se declare la extinción de la acreditación de un prestador de servicios, será publicada en el Boletín Oficial del Estado, y se notificará a la Comisión Europea, de acuerdo con la normativa comunitaria.

Artículo 23. Reconocimiento mutuo de acreditaciones.

1. Serán reconocidas en España las acreditaciones concedidas a los prestadores de servicios en otros Estados de la Unión Europea para las clases y niveles de acreditación equivalentes a los establecidos en este Reglamento.

2. Con arreglo al mismo criterio, podrán ser reconocidas las acreditaciones otorgadas en un Estado que no sea miembro de la Unión Europea, a un prestador de servicios reconocido en virtud de un acuerdo entre la Comunidad Europea y terceros países u organizaciones internacionales.

CAPÍTULO V.
CERTIFICACIÓN DE DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA Y DISPOSITIVOS DE VERIFICACIÓN DE FIRMA ELECTRÓNICA AVANZADA.

Artículo 24. Requisitos para la certificación de dispositivos de firma electrónica.

1. La Secretaría General de Comunicaciones podrá certificar, como dispositivos seguros de creación de firma, los dispositivos que, a tenor de los informes emitidos por una entidad de evaluación acreditada, cumplan los requisitos establecidos en el artículo 19 del Real Decreto-ley 14/1999, de 17 de septiembre.

2. La Secretaría General de Comunicaciones podrá determinar la conformidad de los dispositivos de verificación de firma electrónica avanzada con los requisitos señalados en el artículo 22.1 del Real Decreto-ley 14/1999, de 17 de septiembre, de acuerdo con lo que dispone el artículo siguiente.

Artículo 25. Normas para la evaluación de dispositivos de firma electrónica.

La evaluación de la conformidad de los dispositivos seguros de creación de firma y de los dispositivos de verificación de firma electrónica avanzada con los requisitos exigibles en cada caso, se realizará aplicando aquellas normas cuyos números de referencia se publiquen en el Diario Oficial de las Comunidades Europeas. En su defecto, se aplicarán las normas que determine la Secretaría General de Comunicaciones y cuyas referencias se publiquen en el Boletín Oficial del Estado. Para su fijación, se respetará el orden de prelación establecido en el artículo 7.2 de este Reglamento.

Artículo 26. Procedimiento aplicable al otorgamiento del certificado de conformidad.

1. Las solicitudes de certificación de dispositivos de creación y de verificación de firma electrónica podrán ser presentadas por sus fabricantes o importadores o por los prestadores de servicios.

2. El procedimiento para la obtención de la certificación será el regulado en los artículos 1819 de este Reglamento, entendiéndose, a estos efectos, que las referencias hechas a los prestadores de servicios lo son a los fabricantes, importadores o comercializadores de dichos dispositivos.

3. Las resoluciones por las que se otorguen los certificados de conformidad serán publicadas en el Boletín Oficial del Estado.

Artículo 27. Vigencia de los certificados de conformidad.

Los certificados de conformidad especificarán el período de vigencia por el que se expiden, el cual, en ningún caso, podrá ser superior a cinco años. A su término, los certificados podrán ser renovados, siempre que se acredite, mediante informe favorable de una entidad de evaluación, que se cumplen las condiciones exigibles para la certificación del dispositivo de que se trate. Será aplicable a este supuesto, lo dispuesto en el artículo 19.3 de este Reglamento.

Artículo 28. Caducidad de los certificados.

1. La Secretaría General de Comunicaciones podrá retirar un certificado de conformidad cuando compruebe que los dispositivos de creación o de verificación de firma electrónica al que afecte ya no cumplen los requisitos que determinaron su otorgamiento.

2. La resolución de caducidad del certificado se dictará, en el plazo de seis meses, en expediente contradictorio y se publicará en el Boletín Oficial del Estado.

Artículo 29. Reconocimiento mutuo de certificados.

1. Se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma electrónica y de verificación de firma electrónica avanzada que hayan sido expedidos por los organismos designados, para ello, por los Estados miembros de la Unión Europea.

2. Igualmente, se reconocerá eficacia a los certificados sobre dispositivos seguros de creación de firma electrónica y de verificación de firma electrónica avanzada que hayan sido expedidos por los organismos designados por Estados que no sean miembros de la Unión Europea, cuando un acuerdo internacional de reconocimiento mutuo vinculante para España así lo disponga.

Nota: las referencias legales están tomadas de noticias.juridicas.com

Firma digital en Sanidad

Deja un comentario

En el sector público existe un subsector que define por sí mismo una categoría: es el sector hospitalario y de sanidad.

Con retos específicos en el terreno de la Sociedad de la Información: la privacidad de sus actuaciones sometidas a la LOPD, la historia clínica electrónica, la receta electrónica y la interoperabilidad de la gestión administrativa.

Un entorno complejo en el que se coordinan múltiples especialidades médicas, farmacéuticas, de atención social, … y con múltiples retos de organización: limpieza, gestión alimentaria, residuos con tratamientos especiales, suministros, equipamientos,…

Así que cualquier ayuda que simplifique por vía digital esta complejidad, siempre es bienvenida.

Es por eso por lo que desde Albalia Interactiva llevamos desde 2009 colaborando con hospitales y organismos del sector sanitario, en particular en aspectos de firma electrónica, y en general en la gestión de expedientes electrónicos que tienen en cuenta gran parte de los retos organizativos del sector en los que es posible aplicar la ayuda de la informática y las comunicaciones.

La UFV crea el GINTA, Grupo de investigación dedicado a las AA.PP.

Deja un comentario

La Universidad Francisco de Vitoria (UFV) crea «GINTA» Grupo de Investigación sobre Nuevas Tecnologías Aplicadas.

El Grupo GINTA está formado por Profesores de la Universidad y Profesionales del mundo Empresarial relacionados con las Nuevas Tecnologías

Ante la necesidad de aplicar intensivamente la tecnología en las administraciones públicas y otros sectores, se ha creado un grupo especializado en el conocimiento de las necesidades de estos, tanto a nivel tecnológico como jurídico y económico para ofrecer soluciones integrales.

El objetivo del grupo se centra en dos líneas: Administraciones Públicas Locales para su Gestión Interna y Entidades Financieras en su desarrollo de Business Inteligence (B.I.).

Para ello, el grupo preparará y entregará Proyectos de Innovación Tecnológica y Business Intelligence (Inteligencia de Negocio) relevantes, que sean del interés de las Administraciones Públicas: Ayuntamientos y Empresas Multisectoriales: Sector Financiero, Banca, Seguros, Sector de las Telecomunicaciones, Tecnologías de la Información y de la Comunicación, Energía, Bienes de Consumo etc… y también se presentará a Concursos y Licitaciones de proyectos de Innovación Tecnológica Aplicada en el mundo de las Administraciones Publicas, así como a convocatorias externas de ayudas específicas sujetas a los planes nacionales y regionales de fomento de ciencia y tecnología, contando para ello con el apoyo de la OTRI (Oficina de Transferencia de Resultados de Investigación) de la UFV.

En el ámbito de las Administraciones locales colaborará en el diseño, elaboracion e imparticion de cursos y seminarios organizados por la Administración a los colectivos sectoriales que estos determinen.

Equipo

El grupo bajo la dirección de Ignacio Temiño Aguirre está compuesto por Inmaculada Puebla Sánchez, Mara Sánchez Benito, Rodrigo Navalón García, Delia Nogales Uzabal, Natalia Cobos Lanáquera, Manuel Robredo Botella, así como por Julián Inza Aldaz y Miguel Ángel de Bas Sotelo.

El Grupo de Investigación GINTA ha identificado mediante reuniones con autoridades locales y empresas sectoriales necesidades en los campos en los que centrará su investigación:

  • Administraciones Públicas Locales para su Gestión Interna:
    • Incrementar su apertura Digital (Documentación, Expedientes Contratación Electrónica);
    • Registro Telemático;
    • Gestión Documental;
    • Plataforma de Licitación Telemática;
    • Virtualización,
    • Ordenación CPD;
    • Documentos electrónicos;
    • Sede electrónica;
    • Notificaciones fehacientes;
    • Publicación fehaciente en el perfil del contratante;
    • Custodia Digital;
    • Códigos Seguros de Verificación;
    • Certificación de Seguridad del organismo;
    • Certificados de sede electrónica, de sello electrónico y de empleado público;
    • Compulsa electrónica;
    • Pago telemático;
    • Interoperabilidad;
    • Dirección Electrónica Única;
    • Verificación de Datos de Identidad y Residencia;
    • Supresión de certificados en soporte papel;
    • Comunicación de Cambio de Domicilio;
    • Digitalización Certificada
  • Entidades Financieras en su desarrollo de Business Intelligence (B.I.):
    • Redes Avanzadas en B.I. y Tecnologías de la Información IT ;
    • Banca Virtual; Certificado Digital;
    • Factura Electrónica;
    • Firma Electrónica;
    • Marketing Social: ERP, CRM, Datamining, Datawarehouse ….;
    • Redes Sociales y Audiovisuales;
    • Diseño Gráfico de Interfaces y Usabilidad;
    • Herramientas Colaborativas, canal Web;
    • Plataformas orientadas a servicios (SOA);
    • Plan de seguridad y de sistemas;
    • Redes avanzadas en Movilidad; ……

Y todo ello con una especial aplicación de las normativas vigentes en los proyectos objetivo.

Referencia: Club de la Innovación

Información sobre los grupos de investigación de la Universidad Francisco de Vitoria

5 Congreso de Factura Electrónica de ASIMELEC

1 respuesta

Congreso de ASIMELEC

ASIMELEC ha celebrado en años anteriores 4 Congresos sobre Factura Electrónica y Digitalización Certificada, y este año celebra un lustro de actividades relacionadas con la factura electrónica. El evento del año 2010 se ha planificado de forma que coincida con la el evento de alto nivel de factura electrónica, y pueda enmarcarse entre las actividades vinculadas a la presidencia española  del Consejo. La fecha prevista es el 29 de abril de 2010, y el lugar del encuentro el Auditorio de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información en Madrid (Capitán Haya, 41)  un excelente marco para el evento.

Este año es relevante, además por las diferentes iniciativas asociadas a la Interoperabilidad, sobre las que se dará cuenta en el evento. En particular sobre el Proyecto Invoicex.

Este próximo congreso, El V Congreso de Factura Electrónica y Digitalización Certificada, tiene un coste  de 200 euros. Ya se ha habilitado la inscripción en el web de ASIMELEC.

Otros artículos relacionados:

Custodia digital: la protección de la integridad

Deja un comentario

La protección de la integridad y de la autenticidad de la información es un elemento que poco a poco ha ido apareciendo como un concepto clave en el ámbito profesional de los directivos españoles. En este contexto aparecen términos como la protección de registros de auditoría (o logs) y la protección de su integridad.

Albalia Interactiva ha firmado un acuerdo como socio estratégico de Kinamik Data Integrity, empresa de software líder en el desarrollo de soluciones específicas para la protección de la integridad de la información en tiempo real. En el modelo de Albalia de Gestión de documentos electrónicos de carácter probatorio, una de las piezas claves es la firma electrónica y otra el sistema de custodia digital con metadatos. Hablaré en próximos artículos de las posibilidades de unir los dos conceptos, de su relación con la Ley 11/2007 y el cumplimiento de los recientemente publicados esquemas de Seguridad e Interoperabilidad, o el cumplimiento de la LOPD. En el artículo de hoy me centraré en las razones por las que es importante mantener registros de auditoría (o logs) correctamente protegidos, y que rol representa Kinamik para su correcta gestión.

Kinamik Data Integrity es una empresa de software especializada en la protección de la integridad de la información.

Han desarrollado una solución de software que recoge, asegura y centraliza en tiempo real los registros de auditoría (o logs) desde diversas fuentes. Al procesarlos les aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. La solución de Kinamik, llamada Secure Audit Vault, aporta una serie de beneficios para las organizaciones, entre los que destacan la reducción de costes en procesos de auditoría (interna o externa), la gestión de pruebas electrónicas y/o procesos de investigación de informática forense. Asimismo, facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la norma utilizada en entornos de pago PCI-DSS o la norma ISO 27001, especialmente en lo que se relaciona con la prevención y detección de la manipulación de los registros electrónicos. Finalmente disuade el fraude, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Su principal diferencial respecto a otras tecnologías que intentan dar protección de la integridad (uso de autoridades de sellado de tiempo (TSA), dispositivos WORM (Write Once, Read Many), herramientas de gestión de eventos (SIM/SEM), hash simple, firma digital, etc) se centra en la capacidad de procesar y asegurar la información en tiempo real, aplicando un sello de inmutabilidad al mayor nivel de detalle. Cuando se desea proteger información en contextos de alto rendimiento, por ejemplo logs, las tecnologías existentes crean una ventana de oportunidad que permitiría que una manipulación de los ficheros no fuera detectada o, aún peor, podría dar una falsa sensación de seguridad. La existencia de esta ventana de oportunidad para la manipulación hace además que los ficheros pierdan valor probatorio, pues las organizaciones se encuentran con la imposibilidad de probar un negativo, es decir, probar que nadie ha hecho nada en los ficheros y que no han sido manipulados desde el momento de su creación.

Este hecho aparentemente trivial de demostrar la existencia en un momento dado y la integridad de un documento electrónico –por ejemplo con una firma digital– se transforma en imposible por los inmanejables costes computacionales que implicarían aplicar una firma por cada fracción de segundo, en forma constante. Este mismo contexto –alto rendimiento, aplicación de numerosas “sellos” por segundo, etc- hace impracticable el uso de los servicios de autoridades de sellado de tiempo (TSA), pues su carácter transaccional implica altísimos costes por el elevado número de transacciones a “sellar” y los altísimos niveles en el uso de recursos (en particular ancho de banda),

Discrepancia con el Informe del Grupo de Expertos

Deja un comentario

Recientemente he hecho referencia al Informe final del Grupo de Expertos en Factura Electrónica enfatizando algunas discrepancias que he detectado entre lo que es opinión mayoritaria en España (y en algunos paises europeos) y lo que refleja el propio Final Report of the Expert Group on e-Invoicing .

Hoy he tenido ocasón de comentarlo en Radio Líder, emisora que se escucha en toda Galicia.

Este es el trozo del programa «Entre nosotros» que dirige la periodista Ana Valiño, y que se ha interesado por este tema:

Los puntos claves son el «equal treatment«, la firma electrónica y el formato de la factura, que debería ser UBL ya que CII (el formato identificado por el Grupo de Expertos), como ya he comentado en otra ocasión, no está todavía listo.

Informe final del Grupo de Expertos en Factura Electrónica

2 respuestas

El Final Report of the Expert Group on e-Invoicing es el resultado de más de un año de trabajo de más de 30 expertos de toda Europa.

Junto con conclusiones que verdaderamente pueden ser de consenso se incluyen otras que parecen sesgadas por determinados intereses políticos, y en defensa de algunas posiciones particulares.

El informe tiene partidarios y detractores como puede verse en estos blogs:

Las dos posiciones son relevantes porque de la tesis «triunfadora» depende el consenso para la modificación de la Directiva 2006/112/EC, cuyo borrador actual está disponible.

La posición mayoritaria en España es que no es conveniente cambiar las reglas del juego a mitad del partido, y que tampoco es aceptable, ni siquiera dar a entender que se pueden cambiar. El efecto que tendría es que todos los jugadores se pararan hasta que queden claras las reglas de nuevo, ralentizando la expansión de la factura electrónica. Otra posición mayoritaria en España es que tampoco se deben cambiar las reglas de forma que favorezcan a los más lentos (o a los más torpes) del mercado pero con gran potencia de lobby como algunas entidades financieras europeas (afortunadamente, no las españolas).

Entre todos los conceptos que se manejan, el más peligroso es el de «equal treatment» refiriéndose a un tratamiento igual de las facturas electrónicas respecto a las de papel. Y sin definir qué significa eso.

Para ser correcto, debería llevar la coletilla latina «mutatis mutandi», que significa que se aplica la semejanza cambiando lo que haya que cambiar, como consecuencia de la diferencia de soporte que conlleva formas diferentes de gestionar. Por ejemplo, en una factura en papel se le puede poner el sello «pagado» sobre el documento original. Eso no es tan fácil de representar en un documento electrónico, salvo que se tengan en cuenta parámetros de autenticidad electrónica que algunos de los expertos pretenden eliminar de la factura electrónica.

En todo caso, mi posición personal es que no se puede imponer un modelo que cada vez es menos seguro (el del papel) sobre otro que nace con cierto nivel de seguridad. Por el contrario, dado que las facturas en papel son fácilmente falsificables se debería imponer una exigencia de seguridad adicional (se me ocurren varias: usar papel con marcas de agua, usar papel timbrado, usar papel con marcas de trepado, por ejemplo indicando el CIF del emisor, usar papel con tintas ultravioletas,…)

Por todos estos argumentos y algunos más estoy preparando un documento que recoja la posición española a favor del mantenimento de la firma electrónica de las facturas electrónicas en la Directiva 2006/112/CE, y de la adopción internacional a corto de plazo del estándar UBL, sin perjuicio de una migración futura a CII, cuando la norma esté más madura. La idea es enviarlo a la UE en el marco de la consulta  «Consultation on the Final Report of the Expert Group on e-Invoicing».

Estoy abierto a que me envieis comentarios y sugerencias para su inclusión en el documento, pero recordad que el período de la consulta se extiende desde el 30.11.2009 hasta el  26.2.2010, por lo que tengo que enviar el documento en inglés antes del cierre del plazo. Si alguien quiere contactar conmigo para este tema, que llame al 902 365 612.

ISO 27001 para Albalia Interactiva

1 respuesta

Los últimos dias del año 2009 vieron como lográbamos un hito importante (para nosotros) tras un año de esfuerzo. La certificación UNE-ISO/IEC 27001:2007 expedida por AENOR, con el número SI-0094/2009

El estándar para la seguridad de la información UNE-ISO/IEC 27001 (Information technology – Security techniques – Information security management systems – Requirements) fue aprobado y publicado como estándar internacional en Octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. En España, en el año 2004 se publicó su antecesora, la norma UNE 71502 «Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)» y fue elaborada por el comité técnico AEN/CTN 71. Era la adaptación nacional de la norma británica British Standard BS 7799-2:2002.

Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502

La norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el ciclo PDCA – acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Se relaciona con la adopción de buenas prácticas según se describe en la antigua norma ISO/IEC 17799 que ha pasado a ser la actual ISO/IEC 27002.

La implantación de UNE-ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance (el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información). En nuestro caso, nos ha costado casi 12 meses el esfuerzo de adecuación y certificación, considerando que además hemos renovado este año las certificaciones ISO 9001 e ISO 14001. En cuanto al alcance, este ha tenido en cuenta la prestación de servicios de alojamiento de PKI y Prestadores de Servicios de Certificación (PSC), ya que prestamos servicios a otras empresas del grupo y quien sabe si llegaremos a prestar servicios de alojamiento y gestión de Autoridades de Certificación de otras entidades.

El Proyecto de Adecuación y Certificación  ha sido posible gracias al impulso del Plan Avanza, en el marco del Proyecto PYMESecurity, TSI-030200-2008-0030,  coordinado por CONETIC Confederación Española de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica (que agrupa a 14 Asociaciones Territoriales). La empresa que nos ayudó en la adecuación fue S21Sec, y la Entidad de Certificación AENOR.

PymeSecurity es un proyecto de ámbito nacional que pretende establecer un factor de competitividad clave para la consolidación del sector TIC Español de mayor fragmentación, como es el de la MicroPyme y Pyme, cuya distinción por la calidad será determinante para su supervivencia empresarial.