Archivo de la categoría: Conformidad normativa

Publicidad engañosa

17 respuestas

Por Deambulando he conocido una curiosa anécdota sobre la forma de exigir nuestros derechos en caso de publicidad engañosa, práctica, por lo que se ve, bastante más frecuente de lo que yo suponía.

Se trata de las ofertas increibles de coches, electrodomésticos, equipos multimedia que se adjuntan a los periódicos dominicales, por ejemplo.

La anécdota se refiere a un eslogan que una empresa de Gran Consumo utiliza de forma abusiva:  «Yo no soy tonto«.

En Deambulando, se menciona correctamente la Ley 34/1988, de 11 de noviembre, General de Publicidad, como la ley a tener en cuenta, pero no es la única. De hecho, las  cláusulas en letra pequeña del tipo ”hasta fin de existencias” tampoco se ajustan a derecho.
Veámoslo:

1. La Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios dice en su artículo 8.1: «el contenido de la oferta, promoción y publicidad de los productos, actividades o servicios, las prestaciones propias de cada producto o servicio, y las condiciones y garantías ofrecidas, serán exigibles por los consumidores o usuarios, aun cuando no figuren expresamente en el contrato celebrado o en el documento o comprobante recibido.» Por tanto, las condiciones establecidas por el anunciante en su oferta publicitaria tienen carácter contractual, siendo exigibles por los consumidores.

2. La misma Ley 26/1984, dice en su artículo 10.1 a): que «las cláusulas, condiciones o estipulaciones que, con carácter general, se apliquen a la promoción o venta de los productos o servicios…deberán cumplir los siguientes requisitos:

a) concreción, claridad y sencillez en la redacción, con posibilidad de compresión directa, sin reenvíos a textos o documentos que no se faciliten previa o simultáneamente a la conclusión del contrato, y a los que, en todo caso, deberán hacerse referencia expresa en el documento contractual.

c) buena fe y justo equilibrio entre los derechos y obligaciones de las partes, lo que en todo caso excluye la utilización de cláusulas abusivas.» Señalándose en el artículo 10 bis que “serán nulas de pleno derecho y se tendrán por no puestas las cláusulas, condiciones y estipulaciones en las que se aprecie el carácter abusivo”

3. La nueva Disposición adicional primera de la ya citada ley 26/1984 considera cláusulas abusivas aquellas que vinculen el contrato a la voluntad del profesional y, específicamente la reserva a favor del profesional de facultades de interpretación o modificación unilateral del contrato sin motivos válidos especificados en el mismo. Igualmente, son cláusulas abusivas:

  • La supeditación a una condición cuya realización dependa únicamente de la voluntad del profesional para el cumplimiento de las prestaciones, cuando al consumidor se le haya  exigido un compromiso firme
  • La concesión al profesional del derecho a determinar si el bien o servicio se ajusta a lo estipulado en el contrato.

4. Asimismo, el  Código Civil establece que » la validez y el cumplimiento de los contratos no pueden dejarse al arbitrio de los contratantes» y que «los contratos se perfeccionan por el mero consentimiento y desde entonces obligan no sólo al cumplimiento de lo pactado, sino también a las consecuencias que según su naturaleza sean conformes a la buena fe, al uso y a la Ley.»

5. Por otra parte, la Ley 34/1988, de 11 de noviembre, General de Publicidad, dice que es ilícita la publicidad engañosa, siendo, considerada ésta la que «de cualquier manera, incluida su presentación, induce o puede inducir a error a sus destinatarios, pudiendo afectar a su comportamiento económico…Es asimismo engañosa, la publicidad que silencie datos fundamentales de los bienes, actividades o servicios cuando dicha omisión induzca a error a los consumidores.»

Por tanto, cabe, en función de la Ley 26/1984 exigir el cumplimiento de lo anunciado, y en función de la Ley 34/1988 exigir la cesación de la conducta engañosa.

Conclusiones del I Congreso Nacional de Factura Electrónica y Digitalización Certificada

7 respuestas

Ayer tuvo lugar en Hotel Meliá Castilla de Madrid el I Congreso Nacional de Factura Electrónica y Digitalización Certificada promovido por ASIMELEC, que ha contado con la colaboración de Red.es, y con la secretaría técnica de Atenea Interactiva en la organización.

Con más de 20 ponentes y 150 asistentes, representantes de entidades financieras, empresas de distintas dimensiones y administraciones públicas, el evento ha hecho un repaso a la situación de la factura electrónica en España y su previsible evolución.

Tras la introducción por parte de D. José Pérez, Director General de ASIMELEC, la jornada se inició con la participación de D. Domingo Laborda, Director del Observatorio de las Telecomunicaciones y de la Sociedad de la Información de la Entidad pública empresarial Red.es que hizo un repaso de las principales magnitudes con las que se compara la adopción de tecnologías relacionadas con la Sociedad de la Información por parte de las empresas españolas, en relación con la de otros países. Una alentadora conclusión es que las empresas españolas usan de forma generalizada accesos a Internet de banda ancha de forma perfectamente homologada a la de los países más avanzados. En este contexto, está claro que se ha eliminado una de las posibles barreras a la adopción de la factura electrónica por las empresas.

D. Santiago Segarra, Director del Departamento de Informática Tributaria de la Agencia Estatal de Administración Tributaria señaló la sensibilidad de la AEAT al promover la adopción de nuevas tecnologías como la Firma Electrónica desde hace 10 años, y el impulso que pretende dar a la Factura Electrónica, apoyándola en el plano normativo , en la adopción de estándares y en la imposición de esta modalidad de facturación a los proveedores de la Agencia. Anunció la próxima publicación en el BOE de una norma cuyo borrador está disponible en el web de la AEAT y que permitirá destruir las facturas en papel que se digitalicen según un procedimiento más sencillo que el que figura en el borrador.

D. Arturo González Mac Dowell, Director General de eurobits technologies definió las condiciones que hacen que un estándar lo sea, en particular para facilitar la interoperabilidad del intercambio de facturas entre proveedores y sus clientes, con la posible participación de prestatarios logísticos o entidades financieras como interesados de segundo plano. Propuestas como EDIFACT, ANSI X.12, UBL de OASIS , CCI-XML o “Cross Industry Invoice” podrían converger hacia UBL 3.0 en el marco de UN/CEFACT.

Los prestadores de servicios de certificación centraron una parte relevante de la jornada, con la participación de D. David Gracia Asesor jurídico de ANCERT, D. Sergio Ruiz responsable del programa Censo Digital del Consejo Superior de Cámaras de Comercio en representación de AC Camerfirma, D. Diego Hernández Director del Proyecto CERES de la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda, y D. Alfredo Gosálvez Director General de Firmaprofesional. En un debate moderado por D. Martín Pérez, Vicepresidente de ASIMELEC . La unanimidad en reconocer que la entrada en vigor de la Ley 59/2003 ha supuesto una mejora en la acogida de sus certificados en las Administraciones Públicas y en las grandes expectativas que supone el despliegue del DNI electrónico y la adopción de la Factura Digital, no ha sido óbice para que destacaran las ventajas de los certificados especializados que permitan hacer referencia a la calidad de Colegiado Profesional, o a la de Representante de una Sociedad Mercantil, marco en el que ANCERT propuso su taxonomía de poderes notariales y la disponibilidad de un servicio de consulta online de facultades vigentes y revocadas. CERES anunció la firma de un nuevo convenio con una de las pocas comunidades autónomas que todavía no lo tenían, y señaló algunas cifras como el más de 1 millón de certificados “de la agencia tributaria” como los denominó humorísticamente, que están activos. Servicios como los de consulta OCSP del DNI o la fabricación de tarjetas chip son actividades que también desarrolla la FNMT.

La jornada se orientó hacia las soluciones de firma electrónica que permiten llevar a cabo la factura electrónica con la participación de D. Eduardo Sáez, Director Comercial de ipsCA que llevó a cabo varias demostraciones de sus productos con diferentes modalidades de gestión de ficheros para firmar.

Tras la comida, Dª Margarita Martínez Aguiló, Gerente Técnico Comercial de Doc On Time destacó los retos de los proyectos de facturación electrónica y sus soluciones ejemplificándolos en el de la empresa Sol Meliá, y por extensión de las del sector turístico, tanto desde el punto de vista de la empresa que recibe las facturas como de la que las emite.

Dª Pilar Barea Directora de Negocio de Atos Origin moderó la primera mesa redonda de la tarde en la que intervinieron D. Juan Gil, Director General de Obralia, D. Mario de la Fuente, Coordinador de Servicios de TIREA, y D. Alejandro Sánchez Coll, Director del Departamento de Comercio Electrónico de AECOC. Tres sectores que con requisitos completamente dispares han visto que la factura electrónica mejoraba la eficiencia de la relación entre clientes y proveedores y que han resuelto de diferentes formas los retos de lograr su adopción. Obralia, ha creado servicios adicionales que enriquecen el mero servicio de firma de facturas, conversión de formatos o custodia de mensajes. Tirea ha logrado reducir los tiempos de gestión de facturas y de pago, y AECOC mostró la adopción de la eFactura en el sector de la distribución con más de 4.000 empresas (casi la mitad medianas y pequeñas) que con el lenguaje común AECOC intercambian facturas y otros documentos electrónicos estructurados, con crecimientos espectaculares desde la inclusión de la firma electrónica en los mensajes EDI. Desde el público, la opinión cualificada de un directivo de BBVA reflexionó sobre el rol que pueden tener las entidades financieras en relación con la adopción de la eFactura.

D. Adrián Moure, Vicepresidente de marketing, ventas y alianzas de Safelayer moderó la última mesa redonda de la tarde, muy participativa, en las que se plantearon los diferentes enfoques tecnológicos de los proveedores de soluciones (herramientas versus plataformas, gestión interna versus externalización de servicios). En ella intervinieron Dª Margarita Martínez Aguiló, D. Arturo González Mac Dowell y D. Javier Sánchez, Director de Proyectos de ipsCA . Una de las principales conclusiones fue que los procesos de facturación electrónica pueden ser relativamente simples, utilizando herramientas que los simplifiquen, o adoptando soluciones de terceros que externalicen la complejidad.

Por mi parte, comenté algunos de los resultados desarrollados por el Grupo de Trabajo de Factura Electrónica de ASIMELEC del que soy coordinador, como la propuesta de la Factura Normalizada, que permitirá una digitalización más sencilla cuando se adopte mayoritariamente por los emisores que sigan pegados al papel. La selección de ciertos formatos de factura electrónica y de firma electrónica también tiene por objeto limitar las dificultades de la interoperabilidad. En relación con el tema principal de mi ponencia enfaticé las ventajas de la adopción del formato de firma TS 101 903 variante ES-XL, firma avanzada XML que incluye sello de tiempo e información de validación. Con esta firma que denomino “firma completa” relativamente sencilla de hacer para el firmante que accede a los servicios de validación del mismo prestador de servicios de certificación que expidió su certificado, se logra que el tercero que confía en los certificados no deba preocuparse de saber como un PSC concreto permite verificar la validez. Esta firma podría utilizarse tanto en las facturas que “nacen” electrónicas como en aquellas que se digitalizan partiendo de su versión en papel, en un proceso que denomino “digitalización certificada” y que cuenta con precedentes legales que permiten albergar grandes expectativas que se consolidarán cuando se publique oficialmente la norma. En Albalia Interactiva ofrecemos herramientas para llevar a cabo la Compulsa Electrónica, y la Digitalización Certificada.

D. David Cierco Jiménez de Parga, Director General para el Desarrollo de la Sociedad de la Información del Ministerio de Industria , Turismo y Comercio clausuró la jornada haciendo un repaso a algunas de las iniciativas del Gobierno en el marco del Plan Ingenio 2010, como el plan Avanza.

El Gobierno prevé llevar a cabo un esfuerzo presupuestario para el año 2007 que supera los 1.500 millones de euros, uno de los más ambiciosos hasta la fecha, destinados a impulsar el desarrollo de la Sociedad de la Información, y que en lo que se refiere al Plan Avanza se estructura un cuatro áreas de actuación: Ciudadanía Digital, Economía Digital, Servicios Públicos Digitales, y Contexto Digital. La adopción de la factura electrónica se considera una de las métricas principales para valorar el éxito de las acciones llevadas a cabo en el área de Economía Digital, para lo que se prevé desarrollar convenios con las Administraciones Públicas y Organizaciones sin ánimo de lucro como podría ser la propia ASIMELEC.

Las ayudas, en muchos casos coordinadas con las Comunidades Autónomas con sus propios compromisos presupuestarios y políticos se concretarán en líneas de apoyo a la I+D+i como se viene haciendo en programas como PROFIT, junto con otras como los préstamos TIC que se pueden gestionar a través de cualquier entidad financiera adherida.

Hay que tener en cuenta que la adopción de la eFactura supondrá un cambio cultural que tendrá que basarse en la adopción de nuevos sistemas y la interiorización de nuevos conocimientos, lo que hace imprescindible la Formación.

En los Préstamos TIC, que no requieren sin garantías adicionales, la financiación máxima será del 100% de la inversión, con un máximo de 50.000 euros por beneficiario. El plazo de amortización será de 3 años, con un máximo de 3 meses de carencia, con un tipo 0% durante el plazo de amortización. Los beneficiarios son las pequeñas y medianas empresas que no dispongan de conexión a Internet con banda ancha y realicen inversión en equipamiento para su conexión a Internet, así como las que realicen inversiones en software y hardware destinados a implantar el negocio y la factura electrónica. devolución de hasta 5 años. El objetivo es la adopción de soluciones de mercado.

Otra de las medidas que está adoptando el Gobierno, de tipo legislativo, es la futura Ley de Impulso de la Sociedad de la Información, que ya se ha sometido a consulta pública. En su artículo 3 se indica que las entidades que contraten con la administración pública deberán facturar electrónicamente, y con la recomendación de que se lleve a cabo por vía electrónica todo el proceso de contratación.

A propuesta conjunta del Ministerio de Industria Turismo y Comercio y del de Economía y Hacienda se publicará la normativa que favorezca la interoperabilidad en la adopción de formatos de factura electrónica.

Adicionalmente se promoverá el empleo de factura electrónica como medio preferido para justificar ayudas y subvenciones.
Tras el repaso a todas estas iniciativas, D. David Cierco dio por concluido el Congreso emplazando a ASIMELEC a participar en las áreas en las que está prevista la colaboración del Ministerio con las entidades sin ánimo de lucro.

Las principales conclusiones del evento son que estamos en un entorno maduro jurídica y técnicamente, con multitud de ofertas y soluciones, con grandes oportunidades en la mejora de la eficiencia de las empresas, y con la determinación del gobierno de impulsar la factura electrónica como principal métrica de la penetración de las TIC en las empresas.

Una sentencia cuestiona la firma digital en los registros mercantiles

2 respuestas

La noticia, aparecida hace exactamente una semana (el 7 de octubre de 2006) en el periódico económico «Expansión» se centra en el coste, pero yo quisiera centrarme en la barbaridad conceptual.

Ayer preparé el terreno para este comentario al publicar la referencia a la Instrucción de 13 de junio de 2003, de la Dirección General de los Registros y del Notariado, complementaria de la Instrucción de 30 de diciembre de 1999, sobre presentación de las cuentas anuales en los Registros Mercantiles mediante procedimientos telemáticos.

Ahora adjunto la noticia. Después vendrán mis comentarios.

firma-dgital-registros.gif

En 2005, en los registros mercantiles de toda España se depositaron más de un millón de cuentas anuales de sociedades de todo tipo. Sin embargo, sólo el 5,1% del total se presentó utilizando como certificado de la aprobación de los números del balance la firma electrónica.

Exportación de tecnologías de doble uso

Deja un comentario

Aunque la noticia no es nueva, yo me he enterado hace poco.

Se trata de la actualización de las listas de equipos cuya exportación o reexportación está limitada como consecuencia de la aplicación de los acuerdos internacionales de los que España es signataria.

En el BOE del 24 de enero de 2006 se publicó la Orden ITC/60/2006, de 12 de enero, por la que se modifica el anexo I del Real Decreto 1782/2004, de 30 de julio, por el que se aprueba el Reglamento de control del comercio exterior de material de defensa, de otro material y de productos y tecnologías de doble uso.

El Real Decreto 1782/2004, de 30 de julio, en su Disposición final segunda indica que los Anexos I, II y III del citado Reglamento se podrán actualizar por Orden del Ministro de Industria, Turismo y Comercio, con informe previo de la Junta Interministerial Reguladora del Comercio Exterior de Material de Defensa y de Doble Uso (JIMDDU) y de acuerdo con los cambios que se efectúen en las listas de control de los respectivos regímenes internacionales, es decir, en el seno de la Unión Europea, el Tratado de No Proliferación Nuclear, la Convención de Armas Químicas, la Convención de Armas Biológicas y Toxínicas, el Arreglo de Wassenaar, el Régimen de Control de la Tecnología de Misiles, el Grupo de Suministradores Nucleares y el Grupo Australia.

Se han producido nuevos cambios en las listas de control del Arreglo de Wassenaar y del Régimen de Control de la Tecnología de Misiles que afectan al Anexo I del citado Real Decreto 1782/2004, por lo que es necesario adaptar el contenido de dicho anexo a los mismos.

Esta orden ha sido informada favorablemente por la JIMDDU en su reunión 10/05 de 7 de noviembre de 2005.

Se abre el periodo de consulta pública del borrador del anteproyecto de Ley de impulso de la sociedad de la información.

Deja un comentario

Una de las primeras iniciativas del nuevo ministro D. Joan Clos ha sido la de abrir de forma inmediata el período de consulta pública de la nueva Ley de impulso de la sociedad de la información, cuyo borrador de anterproyecto puede descargarse desde la página web del Ministerio de Industria, Turismo y Comercio. Esta medida ya había sido anunciada por D. José Montilla. Hay que darse prisa en preparar los comentarios porque el período de presentación finalizará el próximo 28 de septiembre de 2006.

El ministerio ha habilitado una dirección de e=mail para recibir comentarios: consulta-lisi arroba mityc.es

WikiSTC compendio de información de seguridad

2 respuestas

A través de Harlok me he enterado de que se ha publicado la versión española del Wiki sobre seguridad WikiSTC. Habrá que ir dándose de alta para colaborar.

Securewave Sanctuary Device Control.

1 respuesta

Mensaje para directivos y responsables de seguridad.

  • Evite que los empleados se lleven ficheros y documentos de la empresa sin su consentimiento.
  • Publique y haga cumplir sus políticas de gestión de la información.

Hay normas como la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) que imponen ciertas obligaciones a las empresas respecto a las medidas de seguridad que deben seguir.

Lo que pretende esa norma es proteger los datos de las personas, que pueden verse sometidos al abuso de un tratamiento indiscriminado en manos de empresas de marketing y publicidad, especialmente con las posibilidades de tratamiento masivo que dan los ordenadores. Sin embargo, las medidas de seguridad que impone su Reglamento (de momento el Reglamento de la anterior LORTAD, aunque se espera la próxima publicación del Reglamento específico de la LOPD) son de gran utilidad para proteger otros tipos de información.

Controles de Sanctuary Device ControlUno de los riesgos que han aparecido recientemente es el de los dispositivos de almacenamiento (como memorias y discos duros) que son utilizables mediante puertos USB. Y puesto que prácticamente todos los ordenadores tienen puertos USB, la información de la empresa (tanto la que está en el disco local del ordenador como la que está en los servidores de ficheros y en la intranet) corre el riesgo de acabar en uno de esos dispositivos.

La empresa Securewave, cuyos productos distribuye mi empresa Albalia Interactiva ha creado diferentes aplicaciones de seguridad, de las que la más interesante, para atajar el problema que he descrito, es Sancturay Device Control.

Sancturay Device Control es una aplicación ligera que se instala en cada ordenador de la organización y controla los diferentes dispositivos que se le conectan y la información que entra y sale por ellos.

Se gestiona centralizadamente en entornos de red Microsoft que dispongan de Active Directory y permite dar permisos de acceso a periféricos (CD, DVD, Floppy, memory sticks ..) relacionados con grupos de usuarios o de máquinas.

Estos permisos de acceso pueden ser del tipo escritura, lectura o temporales, e incluso en relación con la cantidad máxima de información que se puede insertar o extraer de ellos diariamente. Para usuarios cuyo perfil deba permitir que no se impongan limitaciones, el sistema permite controlar la natiraleza exacta de los ficheros que entran y salen de los dispositivos.

Esta herramienta, de muy bajo coste unitario por licencia (menos de 100 euros, aunque depende del número de unidades adquiridas en una determinada instalación) es una ayuda esencial para poder dar cumplimiento a algunas de las obligaciones de la LOPD que eran muy difíciles de satisfacer hasta fechas recientes.

Trámites administrativos más sencillos

Deja un comentario

En la sección Noticias de la web de la Autoridad de Certificación de la Comunidad Valenciana  (ACCV) se incluye un interesante artículo que reproduzco aquí.

REDUCCIÓN DE LA DOCUMENTACIÓN EN LOS TRÁMITES ADMINISTRATIVOS

El pasado mes de mayo el Ministerio de Presidencia publicó en el Boletín Oficial del Estado dos Reales Decretos que eliminan la obligación de aportar fotocopias del DNI y de los certificados de empadronamiento en los trámites de la Administración General del Estado en los que hasta ahora se exigían, con el objeto de dejar constancia de los datos personales y de residencia y evitar así posibles errores o fraudes.

En la nueva normativa se establece que la comprobación de los datos es responsabilidad del Órgano que instruye el procedimiento, mediante datos de identificación que ya obren en sus archivos, bases de datos u otros fondos documentales. En aquellos procedimientos cuya identificación de modo fehaciente sea imprescindible para su tramitación, se solicitará el consentimiento del interesado para que el órgano instructor consulte los datos en la fuente mediante un Sistema de Verificación de Datos de Identidad y/o de Residencia, respectivamente.

Con este cambio en el procedimiento, los datos de los ciudadanos que se obtienen son los mismos y se utilizan para la misma función administrativa que en el procedimiento tradicional. Sin embargo se reduce la documentación a aportar en papel y ésta se obtiene de forma más ágil y fiable ya que los datos se obtienen directamente de la fuente que los produce, simplificándose notablemente los trámites de los ciudadanos con la Administración Pública.

Para que la entrada en vigor de los decretos mencionados sea efectiva, el Ministerio de Administraciones Pública (MAP) está desarrollando el Sistema de Verificación de Datos de Identidad y/o de Residencia al que se hace referencia en los mismos. Se trata de una aplicación capaz de realizar la validación de los datos de residencia de un ciudadano sin necesidad de presentar su certificado de empadronamiento o bien validar los datos asociados a un determinado número de DNI.

El sistema en desarrollo pretende dar cobertura a todos los organismos gestores de la Administración susceptibles de proporcionar algún tipo de trámite administrativo a los ciudadanos y al mismo tiempo, ser lo suficientemente flexible como para ser utilizado en el ámbito de cada Ministerio, Organismo, Comunidad Autónoma y Ente Local.

El objetivo es que el sistema permita verificar los datos por los funcionarios de las unidades gestoras de cualquier Administración Pública autorizados a tal efecto o de forma automatizada por las aplicaciones que sean adaptadas para incluir dicha consulta. Para ello se ha estructurado en dos módulos de verificación de los datos de identidad y de verificación de los datos de residencia respectivamente y se han planteado dos alternativas para realizar la comprobación.

La primera opción es la verificación web de los datos. En este caso el MAP facilitará un interfaz WEB accesible a través de un navegador, donde a partir de un conjunto de datos de entrada de un determinado ciudadano, un funcionario autorizado podrá obtener la verificación de los datos.

El funcionario deberá disponer de un certificado digital de usuario reconocido para identificarse ante el sistema de forma segura y para firmar la solicitud de verificación. El sistema deberá verificar que el certificado del usuario no ha sido revocado y comprobar que el usuario tiene autorización para realizar la consulta de la información.

En primer lugar el sistema comprobará la validez del certificado a través de la Plataforma de Validación del MAP. Una vez verificada la identidad del funcionario y su autorización, se procederá a verificar los datos de identidad del ciudadano objeto de la consulta, a través de una petición firmada electrónicamente.

En función del dato a validar el sistema creado se conectará:

a la Dirección General de Policía y de la Guardia Civil, competente en la consolidación de los datos de identidad.al Instituto Nacional de Estadística competente en la consolidación de los datos de residencia en todo el territorio nacional.

Una vez recibida la respuesta con los datos de verificación del ciudadano, ésta será transmitida vía telemática para ser visualizada por el funcionario en su  interfaz web.

La segunda opción posible es realizar una Consulta Automatizada de datos del ciudadano a través de un WebService que proporcionará el sistema, y al que se invocará desde la correspondiente aplicación de la unidad gestora mediante una petición firmada por el certificado de la aplicación. La petición contendrá la identificación del ciudadano objeto de la consulta, y será enviada a través de una transmisión telemática de datos entre los correspondientes sistemas.

De forma análoga al módulo anterior, el sistema autorizará la consulta en caso de que el certificado de la aplicación que ha firmado la petición tenga el permiso correspondiente,  y a continuación, el sistema solicitará la información de verificación de datos de identidad y/o residencia del ciudadano objeto de la consulta, a través de una petición firmada electrónicamente al servicio proporcionado por la Dirección General de la Policía y de la Guardia Civil o al Instituto Nacional de Estadística.

Una vez recibida la respuesta con los datos de verificación, ésta será transmitida vía telemática a la aplicación a través de una transmisión de datos entre sistemas.
Sistema de Validación
Tanto si la verificación es a través del interfaz web como si se trata de una consulta automatizada de datos, la información transmitida tiene su integridad y confidencialidad garantizada jurídicamente ya que, en ambos casos se realiza el registro de todas las operaciones, con firma electrónica y sellado de tiempo, a través del Módulo de Trazabilidad de Información y Auditoría del sistema.

La ACCV está colaborando con el Ministerio de Administraciones Públicas en la prestación de distintos servicios, tanto en las iniciativas de validación de certificados reconocidos a través de la Plataforma de Validación de Certificados como en el Sistema de Validación de Datos. En concreto, la ACCV ha desarrollado un frontal web que actuará como interfaz en la Comunitat Valenciana para la validación de los datos de identidad y de padrón y ofrecerá los servicios de verificación de datos que facilita el MAP a las Administraciones Públicas valencianas. Estos servicios, cuyo soporte informático y de comunicaciones ya está desarrollado, estarán disponibles para las Administraciones valencianas a través de la ACCV, tan pronto se autorice por parte de los organismos correspondientes de la Administración General del Estado.

Desde la ACCV se considera que los nuevos servicios, en colaboración con el MAP, son de gran interés para los Ciudadanos, Administraciones Públicas, Universidades, Empresas y Colegios Profesionales. Por una parte ofrece la posibilidad de validar a través de sus sistemas cualquier certificado reconocido por el MAP (más información en http://www.dnielectronico.es/seccion_aapp/platform.html) y por otra, la comprobación de los datos del padrón y de D.N.I en las fuentes de las entidades competentes. Todas estas iniciativas fomentan la universalización en el uso de los certificados digitales, la interoperabilidad entre administraciones públicas y trámites administrativos más eficientes.

Decretos publicados:

Esquema de Certificación de Prestadores de Servicios de Certificación (PSC)

7 respuestas

Anteayer tuve la satisfacción de presidir la reunión plenaria del Esquema de Certificación de PSC desarrollado por ASIMELEC.

Este esquema (Proyecto Bitácora) ha merecido el apoyo del Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2004-2007.

Supone el sistema más elaborado existente en España para el cumplimiento de lo previsto en el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica:

Artículo 11 . Notificación

1. Los Estados miembros interesados notificarán a la Comisión y a los demás Estados miembros lo siguiente:

a) información sobre los sistemas voluntarios de acreditación de ámbito nacional, incluidos cualesquiera requisitos adicionales con arreglo al apartado 7 del artículo 3;

b) el nombre y dirección de los organismos nacionales competentes en materia de acreditación y supervisión, así como de los organismos a que se refiere el apartado 4 del artículo 3; y

c) el nombre y dirección de todos los proveedores nacionales de servicios de certificación acreditados.

2. Toda la información facilitada en virtud del apartado 1 y cualquier modificación de su contenido serán notificadas por los Estados miembros a la mayor brevedad.

El servicio de información del artículo 11 ya se ha actualizado desde la última vez que hablé de este tema. Esta es la información que (¡por fin!) figura sobre España:

SPAIN

a) information on national voluntary accreditation schemes, including any additional requirements pursuant to Article 3(7):

Spain has no national governmental voluntary accreditation schemes.

Nonetheless, there is a private initiative of a voluntary accreditation scheme managed by the «Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones» (ASIMELEC – www.asimelec.es)

The Spanish Law on electronic signatures implements article 3(7) of the Directive. Therefore, Public Administrations may impose additional requirements accordingly.

b) the names and addresses of the national bodies responsible for accreditation and supervision as well as of the bodies referred to in Article 3(4):

– Body responsible for supervision:

Ministry of Industry, Tourism and Commerce. http://www.mityc.es (Spanish/English)

– Accreditation body:

NA

– Certification bodies: In process of being designated: National Cryptology Centre – National Intelligence Centre. http://www.oc.ccn.cni.es/index_en.html

c) the names and addresses of all accredited national certification service providers:

The certification service providers which have notified (not accredited) their activities in Spain at the present moment are listed in the following URL:

http://www11.mityc.es/prestadores/busquedaPrestadores.jsp (Spanish)

Creo que este es un gran espaldarazo para el esquema y pronto se conocerán otros de igual o de mayor calado.

Entre las decisiones adoptadas en la reunión a la que me refiero, cabe señalar la aprobación de las tarifas de obtención del sello de calidad de ASIMELEC para PSC, para lo que queda de 2006 y para el 2007, que hacen que la propuesta sea muy atractiva para los prestadores de servicios de certificación que hasta la fecha se hubieran auditado bajo las especificaciones de Webtrust for CAs.

Avanzo los principales valores:

  • Primera certificación (válida por 2 años):
    • Certificado normalizado: 6.000 euros
    • Certificado reconocido: 12.000 euros
  • Certificaciones sucesivas (por renovación o cambio de alcance, validez 2 años):
    • Certificado normalizado: 3.000 euros
    • Certificado reconocido: 6.000 euros

El pago puede fraccionarse en los 2 años de vigencia del sello de calidad, aunque debe tenerse en cuenta que el mantenimiento del sello tiene un coste, el segundo año, del 20% del coste de la certificación sucesiva (lo que en el certificado normalizado equivale a un coste anual de 1.800 euros).

Además de acreditar las buenas prácticas adoptadas por el PSC, el sello aporta otras ventajas:

  • Facilita la inclusión de las Autoridades de Certificación (CAs) raiz del PSC en los productos de Microsoft.
  • Reduce el coste del Seguro Obligatorio de PSC
  • Facilita la aceptación del PSC ante las Administraciones Públicas.

ASIMELEC tiene previsto un mecanismo de apoyo para la adopción del sello que lo hace aún más interesante.

La VII Conferencia Internacional “Common Criteria”: 19, 20 y 21 de septiembre en Lanzarote

2 respuestas

7 conferencia Common CriteriaLa conferencia anual “Common Criteria” (ICCC, International Common Criteria Conference), que va por su séptima edición, es el punto de encuentro de los reguladores, laboratorios e industria interesados en la certificación de seguridad “Common Criteria” y se ha convertido en el vehículo fundamental de promoción internacional de los avances en la certificación de las tecnologías de la información.

Por primera vez, este evento se desarrolla en España, los días 19, 20 y 21 de septiembre, en el Hotel Princesa Yaiza, en el marco incomparable de Lanzarote.

En la ICCC se anuncian y publicitan los hitos del Arreglo Mutuo de Reconocimiento de Certificados (CCRA, Common Criteria Recognition Arrangement), tales como la incorporación de nuevos miembros consumidores de certificados, la aceptación de nuevos esquemas productores de certificados, la entrega y notificación de los certificados emitidos a lo largo del año, así como los avances técnicos en la norma, y la discusión y puesta en común de problemas y nuevas áreas tecnológicas.

logo Organismo de Certificación del CCNCon la celebración de la Conferencia en España se pretende, por un lado, dar a conocer a la industria y administración española e internacional la existencia del esquema español de evaluación y certificación de las tecnologías de la información, con plena capacidad operativa y reconocimiento internacional.

Por otro lado, también se busca fomentar la proyección internacional de la industria nacional de productos de seguridad de las tecnologías de la información, dándose a conocer al selecto grupo de asistentes a la conferencia, y estimulando su penetración en el mercado exterior a través de la certificación.

Este evento lo Impulsa el Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), institución que se articula en el ámbito de actuación del Centro Criptológico Nacional (CCN).

logo Centro Criptológico Nacional (CCN)El Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI) es el Organismo responsable de coordinar la acción de los diferentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información en ese ámbito, informar sobre la adquisición coordinada del material criptológico y formar al personal de la Administración especialista en este campo.

La certificación en seguridad informática Common Criteria se otorga a un equipo o producto (no a una empresa). De los 23 países que reconocen esta certificación, sólo 12 están capacitados para emitirla, entre ellos España, donde el organismo emisor es el Centro Criptográfico Nacional (CCN). Existe un laboratorio certificador operativo del Instituto Nacional de Técnica Aerospacial (INTA), y otro en camino (APPLUS).

  • En el INTA se adscribe el Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI) , que evalúa la seguridad de las tecnologías de la información (TICs) de acuerdo a estándares internacionales reconocidos (ISO 15.408/Common Criteria, ITSEC y la ley española de firma electrónica) operando dentro del Esquema Nacional de Evaluación y Certificación de la Seguridad de las TICs y del Centro Criptológico Nacional.
  • Applus es la marca comercial del LGAI Technological Center, el Laboratorio General de Ensayos e Investigaciones (en catalán Laboratori General d’Assaigs i Investigacions).Cuenta con 15 centros donde desarrolla tecnología punta en campos tan diversos como polímeros, química, medio ambiente, electromagnetismo, acústica, mecánica, telecomunicaciones, fuego, metrología o Laser y en los que sus técnicos cualificados pueden realizar ensayos, calibraciones, certificaciones, formación técnica e I+D, tanto a nivel nacional como internacional.

Siete compañías españolas, además de las dos que ya lo tienen, están en proceso de obtener esta certificación para alguno de sus productos y el DNI electrónico también contará con esta supervisión.

Entre las companías que cuentan con productos certificados están Safelayer y Microelectrónica Española.

Es importante que, con iniciativas como esta, España empiece a referenciarse en la Industria de la Seguridad, ya que, en mi opinión, es una potencia mundial en este mercado, por sus empresas y por la adopción de tecnologías de seguridad en el sector público y privado.