Archivo de la categoría: DNI electrónico

El DNI electrónico se lanza en España en 2006 y tendrá muchas ventajas y algunos inconvenientes. Los revisaremos aquí.

Esquema de Certificación de Prestadores de Servicios de Certificación (PSC)

7 respuestas

Anteayer tuve la satisfacción de presidir la reunión plenaria del Esquema de Certificación de PSC desarrollado por ASIMELEC.

Este esquema (Proyecto Bitácora) ha merecido el apoyo del Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2004-2007.

Supone el sistema más elaborado existente en España para el cumplimiento de lo previsto en el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica:

Artículo 11 . Notificación

1. Los Estados miembros interesados notificarán a la Comisión y a los demás Estados miembros lo siguiente:

a) información sobre los sistemas voluntarios de acreditación de ámbito nacional, incluidos cualesquiera requisitos adicionales con arreglo al apartado 7 del artículo 3;

b) el nombre y dirección de los organismos nacionales competentes en materia de acreditación y supervisión, así como de los organismos a que se refiere el apartado 4 del artículo 3; y

c) el nombre y dirección de todos los proveedores nacionales de servicios de certificación acreditados.

2. Toda la información facilitada en virtud del apartado 1 y cualquier modificación de su contenido serán notificadas por los Estados miembros a la mayor brevedad.

El servicio de información del artículo 11 ya se ha actualizado desde la última vez que hablé de este tema. Esta es la información que (¡por fin!) figura sobre España:

SPAIN

a) information on national voluntary accreditation schemes, including any additional requirements pursuant to Article 3(7):

Spain has no national governmental voluntary accreditation schemes.

Nonetheless, there is a private initiative of a voluntary accreditation scheme managed by the «Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones» (ASIMELEC – www.asimelec.es)

The Spanish Law on electronic signatures implements article 3(7) of the Directive. Therefore, Public Administrations may impose additional requirements accordingly.

b) the names and addresses of the national bodies responsible for accreditation and supervision as well as of the bodies referred to in Article 3(4):

– Body responsible for supervision:

Ministry of Industry, Tourism and Commerce. http://www.mityc.es (Spanish/English)

– Accreditation body:

NA

– Certification bodies: In process of being designated: National Cryptology Centre – National Intelligence Centre. http://www.oc.ccn.cni.es/index_en.html

c) the names and addresses of all accredited national certification service providers:

The certification service providers which have notified (not accredited) their activities in Spain at the present moment are listed in the following URL:

http://www11.mityc.es/prestadores/busquedaPrestadores.jsp (Spanish)

Creo que este es un gran espaldarazo para el esquema y pronto se conocerán otros de igual o de mayor calado.

Entre las decisiones adoptadas en la reunión a la que me refiero, cabe señalar la aprobación de las tarifas de obtención del sello de calidad de ASIMELEC para PSC, para lo que queda de 2006 y para el 2007, que hacen que la propuesta sea muy atractiva para los prestadores de servicios de certificación que hasta la fecha se hubieran auditado bajo las especificaciones de Webtrust for CAs.

Avanzo los principales valores:

  • Primera certificación (válida por 2 años):
    • Certificado normalizado: 6.000 euros
    • Certificado reconocido: 12.000 euros
  • Certificaciones sucesivas (por renovación o cambio de alcance, validez 2 años):
    • Certificado normalizado: 3.000 euros
    • Certificado reconocido: 6.000 euros

El pago puede fraccionarse en los 2 años de vigencia del sello de calidad, aunque debe tenerse en cuenta que el mantenimiento del sello tiene un coste, el segundo año, del 20% del coste de la certificación sucesiva (lo que en el certificado normalizado equivale a un coste anual de 1.800 euros).

Además de acreditar las buenas prácticas adoptadas por el PSC, el sello aporta otras ventajas:

  • Facilita la inclusión de las Autoridades de Certificación (CAs) raiz del PSC en los productos de Microsoft.
  • Reduce el coste del Seguro Obligatorio de PSC
  • Facilita la aceptación del PSC ante las Administraciones Públicas.

ASIMELEC tiene previsto un mecanismo de apoyo para la adopción del sello que lo hace aún más interesante.

Documentos Extraviados y Robados (DER Servicio SADP en el CCI), alternativa a PERSUS

72 respuestas

Hace unos días mencionaba un iniciativa para reducir los problemas que se producen cuando perdemos o nos roban la documentación, y de forma destacada, el DNI. Se trata del fihero PerSus gestionado por ASNEF-Equifax.

Rafael Marín, del Centro de Cooperación Interbancaria (CCI), me comenta otra iniciativa que se ha acometido desde esta institución con el mismo objetivo, enmarcada en su política de Prevención del Fraude.

Se trata del Fichero de Documentos Extraviados y Robados (accesible a través del Servicio de Actualización de Datos Personales SADP) que permite que las entidades financieras puedan comprobar ciertos datos en el momento en el que una persona acude a abrir una cuenta en una oficina, aportando documentación que pudiera o no ser robada.

Es importante este tipo de inicativas para paliar los efectos adversos de perder el DNI o de que te lo roben, como se documenta en estos casos:

Sobre este asunto reproduje un artículo originalmente publicado por El Mundo.

Ya tengo mi DNI electrónico

1 respuesta

Hay que reconocer que la infraestructura desplegada por la DGP es impresionante. Y todo para conseguir que el ciudadano pueda llevarse el DNI «puesto» en una sola visita.

Ciertamente la apariencia de los equipos es un tanto «industrial». Claramente no son equipos de gran tirada ni destinados al consumo.

Pero todo parece diseñado para tranquilizar a los más paranoicos: las claves públicas y privadas que gestiona el DNI-e las genera el propio chip (lo que ralentiza un poco el proceso, dado el tamaño de las claves).

Se escanean las huellas dactilares de los 2 dedos índices de ambas manos, se incorpora la firma manuscrita y la foto, que se almacena en color aunque se imprima en blanco y negro.

El sistema genera una clave para teclear, con la que se protegen las dos claves privadas que se entrega al ciudadano en el mismo acto, impresa en un sobre opaco mediante una impresora de impacto. Además, en las propias instalaciones de la policía un kiosko de autoservicio permite comprobar los datos que figuran en el DNI y cambiar la clave. Incluso si no se recuerda la clave anterior, permite la identificación mediante una de las huellas dactilares.

Los funcionarios que atienden los puestos actuan con aplomo, como si el procedimiento de generación del DNI electrónico estuviera tan trillado como se supone que a día de hoy es el procedimiento de obtención del DNI convencional (en pocos meses, ESTE DNI será el CONVENCIONAL).

En fin: la impresión que he obtenido es muy satisfactoria. Creo que los especialistas de la Policía y de las empresas contratadas han hecho un buen trabajo.

Firma electrónica en el teléfono móvil celular con Movistar

11 respuestas

Algo después del verano de 2005 acabamos en Albalia Interactiva el sistema de firma electrónica en teléfonos móviles celulares que estuvimos desarrollando con Movistar.

Hago esta mención porque estos días se ha publicado que Vodafone ha logrado llevar a cabo la firma electrónica desde el móvil y parece que han sido los primeros en lograrlo.

No le quiero quitar mérito al asunto, porque ya he comprobado en mis carnes las dificultades de un proyecto de este tipo.

Pero creo que conviene poner en perspectiva el anuncio, respecto a la capacidad de innovación de cada operador, y a lo qué puede significar la innovación en un proceso que debería acabar con un producto en manos del público.

Hasta donde llegan mis noticias, el primer proyecto de firma electrónica desde el móvil se llevó a cabo en el año 2001, y lo acometió Safelayer en colaboración con Amena, entidad que participaba en su capital. En ese caso se trataba de firmar formularios a través de páginas WAP, en las que se disponía del protocolo WTLS y la posibilidad de tener certificados electrónicos (y sus claves privadas asociadas) en la tarjeta SIM del teléfono móvil. Uno de los retos del proyecto era la adaptación de una pasarela para que las firmas generadas en el lado WAP pudieran ser utilizadas en el lado HTML.

El proyecto de Albalia con Telefónica Móviles España (Movistar) pretendía firmar en un teléfono móvil mediante una tarjeta criptográfica que contuviera las claves y los certificados. La idea era que se pudiera utilizar con el DNI electrónico, aunque en aquel momento tuvimos que contentarnos con trabajar con prototipos del DNI-e.

El primer reto lo tuvimos cuando lo intentamos con teléfonos Java genéricos. En principio, todos los teléfonos celulares de última generación soportan java, sea cual sea el sistema operativo, pero las cosas no son tan fáciles. Para llevar a cabo la firma nos convenía que el teléfono implementara las funciones de MIDP 2 y eso limitaba mucho los teléfonos adecuados. A continuación necesitábamos teléfonos con la opción de incorporar un dispositivo lector de tarjeta chip (la famosa chipetera).

Un dato curioso es que los teléfonos móviles ya llevan un lector de tarjeta chip en su interior, puesto que lo necesitan para acceder a la SIM. Sin embargo, muy pocos incorporan un lector de tarjeta chip accesible desde el exterior. Los pocos modelos existentes, son unidades obsoletas de Motorola y Siemens que incorporaron lectores de tarjetas chip en proyectos desarrollados en torno al año 2000 cuando especificaciones como EMV y SET permitían vaticinar la adopción del teléfono móvil como sistema de pago asociado a una tarjeta bancaria.

La posibilidad de usar lectores externos de tarjeta chip redujo mucho el abanico de teléfonos móviles adecuados, y nos obligó a centrarnos en teléfonos móviles operados con sistemas operativos derivados de Windows CE. De hecho el ordenador de mano HP Jornada 720 (con la variante de sistema operativo Handhel PC2000) ya incluia lector de tarjeta chip, lo que parecía bastante prometedor.

La mala noticia es que, aunque según la información técnica de Microsoft existen lectores de tarjeta chip para Windows CE o Pocket PC, los modelos referenciados operan a través de RS-232 (lo que delata la antiguedad de la valoración), interfaz que la mayor parte de los modelos actuales no incorporan.

Camisa para TSM-500Necesitábamos un lector de tarjeta chip que se pudiera acoplar a un teléfono TSM-500 (equivalente al XDA II, al iMate Pocket PC o al Qtek 2020), o bien por la conexión del Craddle (la cuna de sincronización, existente en prácticamente todas las PDA y agendas con software Windows Pocket PC), o bien por la conexión SDIO (destinada originalmente para tarjetas de ampliación de memoria). Además el lector debería tener drivers PC/SC para Windows CE (en las versiones de base del sistema operativo 3.0, 4.2 o 5.0) o sus evoluciones como Windows Mobile (2002, 2003 y 2005), Windows Pocket PC o Windows Smartphone. Esto era imprescindible para poder utilizarlo dentro de las posibilidades que nos proporciona la Cripto API en Windows CE (que alcanzarían el máximo si pudiéramos contar con los drivers CSP, también para Windows CE de la tarjeta inteligente).

Después de mucho buscar, sólo encontramos un modelo que era fantásico desde el punto de vista de prestaciones y de factor de forma, porque encajaba perfectamente en la conexión de Craddle de la TSM-500, pero que en ese momento no tenía driver PC/SC. Contactamos con el Proveedor australiano, y mantenemos la puerta abierta para utilizarlo en futuros proyectos.

Sin embargo, esa linea de trabajo quedó en suspenso mientras aparecían los dichos drivers.

A través de C3PO encontramos un lector de tarjeta inteligente PCMCIA (el modelo 4040) con drivers PC/SC para Windows CE. La colaboración de C3PO con Albalia (o particularmente, la de Jorge Gómez, su Director General, conmigo) siempre ha sido muy buena y en este proyecto fue muy importante.

La buena noticia es que pudimos avanzar bastante en el desarrollo, aunque (la mala noticia) tuvimos que utilizar un entorno diferente al definitivo: la tarjeta PCMCIA 4040 se insertaba en un adaptador PCMCIA a CompactFlash (allí comprobamos que ambas conexiones son eléctricamente equivalentes aunque el factor de forma es distinto) y este en una PDA con conexión Compact Flash. Todavía no teníamos un lector SDIO pero ya podíamos empezar a entablar diálogo con la tarjeta chip del prototipo de DNI electrónico.

En esta fase del proyecto tuvimos que firmar un Acuerdo de Confidencialidad muy riguroso con la FNMT para acceder a la información de la tarjeta, y en particular sus comandos de bajo nivel APDU.

De esta forma podíamos pedirle a tarjeta que firmara un Hash con la clave privada y leer del directorio apropiado de la tarjeta el certificado asociado. Fue una proceso complejo buceando en una maraña de información y con el objetivo de generar un PKCS#7 en el entorno de la PDA.

Normalmente, generar un PKCS#7 no es un problema, porque es relativamente sencillo generarlo programando mediante la Cripto API. El problema es que no teníamos el CSP de la tarjeta criptográfica para Windows CE, y, por tanto las funciones de programación de Windows ignoraban la existencia de la tarjeta. Además las funciones de la Cripto API no permiten un uso «a trozos» de las operaciones atómicas de la firma. Así que, además, teníamos que acometer por nuestra cuenta el reto de generar un PKCS#7 bien formado. Otra vez vuelta a estudiar las especificaciones ASN.1 de la norma y a interpretar las Basic Encoding Rules (BER) para poder generar nuestro propio PKCS#7. Y esto tras intentar primero extraer la función correspondiente de librerías como OPENSSL y otras. Lo cierto es que en todas las librerías en las que están disponibles los fuentes, las generación del PKCS#7 está absolutamente enmarañada con otras cosas, y no era práctico ni extraer lo básico, ni moverlo todo a Windows CE. Demasiadas dependencias.

Smartcard SDIO ReaderAl final lo logramos. Generamos nuestra propia interficie con la tarjeta chip, con nuestra propias funciones y librerías, lo que nos permite implementar tanto un driver CSP como PKCS#11 para el DNI electrónico en Windows CE.

Ya solo nos faltaba el dispositivo lector.

Tras mucho investigar, encontramos un lector de tarjetas inteligentes con interfaz SDIO, desarrollado originalmente para el Departamento de Defensa norteamericano.

Disponía de drivers PC/SC, por lo que pudimos adaptar todos los desarrollos que habíamos hecho para la PCMCIA con cierta facilidad.

Cuando hicimos la entrega del proyecto, nos atrevimos con algo a lo que nos debería haber disuadido nuestro profundo conocimiento de las Leyes de Murphy. Instalamos nuestri entorno en un teléfono nuevo que Movistar lanzaba por esas fechas: el Qtek S100. No lo habíamos probado. Simplemente los especialistas en firma electrónica en móvil de Telefónica Móviles tenían un equipo por allí y nos animamos a intentarlo el mismo día de la entrega. ¡Funcionó!

Instalamos los drivers en el S100, insertamos el conector del lector de tarjeta chip en la ranura SDIO del móvil, instalamos nuestra aplicación en el móvil, insertamos la tarjeta con un certificado autogenerado y otra con un certificado generado por un PSC (todavía no teníamos DNIs electrónicos auténticos) elegimos un fichero existente en el móvil y Voilá. Nos pedía el PIN y generaba el PKCS#7 que podíamos leer después en un ordenador con Windows.

Fue un proyecto largo y duro, pero del que nos sentimos muy orgullosos.

Por cierto, hasta donde yo sé, somos los únicos que tenemos este know-how, por lo que aquellos interesados en desarrollar aplicaciones para el DNI electrónico en dispositivos móviles, teléfonos y PDAs basados en Windows CE, deberían contactar con nosotros.

Por lo menos para adquirir la chipetera SDIO ya que nos hemos hecho distribuidores de estos dispositivos.

Por concluir, hay que reconocer que Amena fue el primer operador móvil en disponer de firma en teléfonos móviles WAP, Movistar el siguiente, pero esta vez con capacidad de firmar con tarjetas externas, como es el caso del DNI electrónico, y Vodafone el último operador en disponer de esta tecnología (y además en la opción «fácil» de instalar el certificado en la SIM).

El algoritmo de hash del DNI electrónico

7 respuestas

Estos días he leido muchas tonterías (a mí me lo parecen) sobre si el SHA-1 es malo y lo único bueno es el SHA-256 y sobre lo que esto implica en el nuevo DNI electrónico.

Lo cierto es que desde hace unos pocos años, algunas personas afirman de oidas que se ha roto el MD-5 o el SHA-1.

Lo que ha sucedido es que se ha demostrado que la probabilidad de encontrar dos documentos distintos con el mismo hash, siendo muy pequeña, es menos pequeña de lo que se sospechaba cuando se diseñó el algoritmo.

Con esto en mente, podemos afirmar que no es cierto que unos algoritmos de hash sean buenos y otros malos, así sin más.

En todo caso, no hay algoritmos buenos, sino más o menos vulnerables a determinados tipos de ataque.

Y, desde luego, la mejor opción es utilizar 2 algoritmos de hash simultáneamente.

Lo que esto quiere decir es que si, sumando casualidades, somos capaces de generar un documento que tiene una información que nos interesa y con el que queremos sustituir a otro para el que se ha calculado el Hash, habremos conseguido que el hash firmado para el documento sustituido ampare al documento con el que lo sustituimos.

En general, en documentos estructurados esto es imposible incluso con mecanismos de hash "·malos" porque es importante preservar la legibilidad y consistencia del documento. No es lo mismo con ficheros gráficos o con ficheros que tengan áras de "pad" (de manipulación) porque es posible manipular esas áreas o los bits menos significativos del gráfico hasta que el fichero entre por el aro (lo que tampoco es nada fácil).

De todas formas, cuando existen dos algoritmos de hash simultáneos, lo que podamos hacer para "arreglar" el fichero de cara a un Hash, nos lo "descojona" de cara al otro.

En definitiva, el certificado incluido en el DNI electrónico es lo suficientemente seguro ya que el hash generado con SHA-1 implica que no es posible generar otro certificado con el mismo aspecto y cambiando algunos datos según nos interese. Pero ya es la releche al volver a firmar por la CA el SHA-256 del mismo contenido. Aunque no podamos utilizarlo ni con Internet Explorer, ni con Opera, ni con Firefox. Es, desde luego, INFALSIFICABLE.

Otro aspecto distinto es la manera en la que firmemos nosotros nuestros documentos con el DNI electrónico. Ahí sí que podemos hacer lo que queramos. Por ejemplo, desarrollar por nuestra cuenta un programa de software que utilice formatos no estándar al cifrar y al descifrar (firmar y comprobar la firma), y que emplee MD-4, MD-5, SHA-1 y SHA-256 simultánemaente.

A ver si vamos a ser muy paranóicos con las gilipoyeces y luego no comprobamos si el certificado está revocado o no.

IDABC

Deja un comentario

IDABC  significa Interoperable Delivery of European eGovernment Services to public Administrations, Businesses and Citizens.

Todavía es una iniciativa que no ha tenido excesiva difusión, más allá de las referencias al uso de software libre, pero en la que también está participando (aunque sea poco) la Administración Española a través del MAP

Chipeteras

Deja un comentario

Los lectores de tarjeta chip. a veces se llaman "chipeteras" por similitud con  las "disqueteras" que permiten leer los diskettes magnéticos.

Las tarjetas inteligentes (también llamadas tarjetas chip o smartcards) se utilizan cada vez más en diferentes ámbitos: 

  • Como tarjetas de identificación en telefonía móvil GSM (se denominan SIM Card a partir del término Subscriber Identification Module, es decir , módulo de identificación de abonado).

  • Como tarjetas de alta seguridad en Medios de Pago (VISA y MasterCard han definido conjuntamente el estándar EMV que define el tipo de tarjeta que todas las entidades financieras han comenzado a emitir y que deben poseer todos sus clientes antes de 2010, como parte de los compromisos impuestos por las autoridades en el marco de la SEPA: Single Euro Payment Area).

  • Como tarjetas sanitarias, en base a las que, por ejemplo, pueden llevarse a cabo proyectos de Receta Electrónica

  • Como tarjetas de identidad digital en Firma Electrónica, constituyendo lo que la normativa denomina "dispositivo seguro de creación de firma". Desde este punto de vista, Cámaras de Comercio, Colegios Profesionales, e instituciones públicas han desarrollado estructuras de certificación (PKI) y Prestadores de Servicios de Certificación (PSC) que permiten llevar a cabo con estas tarjetas la firma electrónica avanzada y las firmas electrónicas reconocidas o cualificadas.

Una de estas tarjetas, es la utilizada en el DNI electrónico que ha empezado a emitirse en marzo de 2006. Para poder utilizar el DNI electrónico es preciso disponer de un lector de tarjeta chip conectado al ordenador.

Además del lector de tarjeta chip, y el propio DNI hacen falta las piezas de software de cada dispositivo. El driver CSP del DNI electrónico se encuentra en http://www.dnielectronico.es/. El driver PC/SC del lector se obtiene en el web del fabricante, cuya dirección se entrega en la iformación suministrada con el lector.

Microsoft obtiene la certificación Common Criteria para algunos de sus productos

1 respuesta

Microsoft anunció en rueda de prensa a principios de 2006 que ha obtenido la certificación Common Criteria (CC) para varios productos basados en Windows XP y Windows Server 2003. Common Criteria es un estándar en seguridad (ISO 15408), que en España otorga el Centro Criptológico Nacional (CCN), dependiente del CNI, acrónimo del Centro Nacional de Inteligencia del Ministerio de Defensa español.

Sin dejar de ser importante que productos de Microsoft hayan recibido tan alto reconocimiento, un aspecto llamativo de la rueda de prensa fue el énfasis en la divulgación de los conceptos asociados a Common Criteria. Una de las principales conclusiones del evento es la extraordinaria evolución del sector de la seguridad español, que se presenta como uno de los más avanzados del mundo.

El marco de procedimientos para la evaluación de la seguridad se basa en parámetros aceptados en 22 países de todo el mundo, comenta Luis Jiménez, subdirector del Centro Criptológico Nacional. Además la extensión de las tecnologías de la información a la práctica totalidad de las actividades esenciales ha traído consigo cambios y es necesario generar confianza en los nuevos usos que se ofrezcan, tanto ‘hardware’ como ‘software’, por eso es necesario tener un tercer actor independiente, Common Criteria, que certifique las funciones de seguridad y el nivel.

En la actualidad los laboratorios españoles tienen capacidad para certificar productos conforme al exigente estándar EAL4 (nivel máximo de seguridad para un sistema operativo comercial). En la actualidad el INTA (Instituto Nacional de Técnica Aeroespacial) ya ha alcanzado este reconocimiento y LGAI (dentro de la estructura de Applus) será el próximo laboratorio en lograrlo. Coordinando todos estos esfuerzos, el MAP (Ministerio de Administraciones Públicas) y de forma destacada el CCN están logrando que España se sitúe, junto con Estados Unidos, Canadá, Australia, Francia, Alemania, Reino Unido o Japón entre los países capaces de certificar productos.

En el momento actual, un certificado “Common Criteria” otorgado por uno de los países con capacidad de certificar es automáticamente reconocido por todos los demás participantes en el sistema. El CCN está a punto de finalizar las gestiones para que los certificados expedidos por los laboratorios españoles tengan este reconocimiento mundial, esto quiere decir tener el reconocimiento de los 22 países participantes en el esquema.

En el caso de Microsoft, la certificación se ha llevado a cabo en Estados Unidos, por la proximidad de los desarrolladores respecto a los laboratorios de certificación. Los productos certificados presentados por Microsoft son productos relacionados con la seguridad, como sistemas de base (plataformas de sistema operativo), firewalls, sistemas de correo electrónico y sistemas de certificación electrónica.

Proceso, el de la certificación, largo y caro, y que tiene poco sentido si no se enmarca en un compromiso global de los desarrolladores de la organización hacia la seguridad. Alguna de las conclusiones de los expertos inciden más en la importancia de la evolución estratégica de Microsoft que en el hecho de que algunos de los productos alcancen la certificación.

De hecho, un aspecto significativo, que destaca la prioridad de la seguridad real sobre su eventual efecto publicitario, es que el hecho de aplicar un service pack o un parche que mejore la seguridad de un producto implica que el producto parcheado ha perdido el nivel de certificación recibido, por la muy razonable conclusión de los expertos de que al aplicar un parche se pueden arreglar unas cosas y estropear otras.

Cuando se empleen configurados tal y como se señala en la documentación del sistema (cualquier otra configuración pierde los requisitos utilizados en la certificación) los sistemas son conformes con EAL4 y pueden ser considerados Dispositivos Seguros de Creación de Firma (en relación con la Ley 59/2003 de Firma Electrónica).

Entornos muy exigentes como los de Defensa, Banca y Administraciones Públicas de cualquier país comienzan a exigir certificaciones “Common Criteria“ de determinados niveles (no siempre EAL4) para los productos que adquieren, por lo que la disponibilidad de laboratorios españoles es crucial para la competitividad de nuestra industria nacional de seguridad que, siendo muy competitiva en tecnología y coste, se encontraba con grandes barreras por tener que certificar sus productos en laboratorios de otros paises.

Por último, otro aspecto que llama la atención es la extraordinaria transparencia del CCN dependiendo de un organismo tradicionalmente opaco como el CNI. Así, es público y se puede ver en el web del CNI, que se están certificando en España dispositivos como la tarjeta chip que se usará en el futuro DNI electrónico (ya existe una tarjeta de Microelectrónica certificada para su uso en sistemas de firma electrónica del Ministerio de Defensa) o software de certificación electrónica de SafeLayer, o de Secuware.

Firma electrónica en Banca

1 respuesta

Factura electrónica y DNI electrónico son conceptos unidos por algo más que por el “apellido” electrónico. Ambos son dos expresiones de la importancia que está adquiriendo la firma electrónica.

Los primeros proyectos de firma electrónica españoles se llevaron a cabo en el ámbito de las universidades y de las entidades financieras en 1995. Sin embargo, tras el tropiezo que sufrieron proyectos como GTA o Identrus, o las abortadas iniciativas PKI de Iberion, las entidades financieras han adoptado una actitud de "wait and see".

Algunas de ellas advierten el potencial que la nueva normativa (Ley 59/2003) otorga a la firma electrónica cualificada y empiezan a pensar en cómo adaptar las tarjetas de crédito EMV (tarjetas con chip que, según la normativa de Visa y Mastercard seberán sustituir a las actuales con banda magnética) para que permitan llevar a cabo todo tipo de trámites.

 Sin embargo, quizá el reto más importante y para el que pocas entidades están preparadas, es para el despliegue de servicios que se tiene que asociar al DNI electrónico. A partir del 15 de marzo de 2006, y a un ritmo de seis millones de documentos al año, los ciudadanos españoles dispondrán de un mecanismo que no sólo permitirá acreditar su identidad a distancia, sino firmar electrónicamente con el DNI y con su PIN, también en entornos presenciales.

Y las casi 40.000 oficinas bancarias españolas no están preparadas para esto.

En lo que sí empiezan a estar preparadas es en el despliegue de estructuras de gestión de facturas electrónicas, con lo que pueden ser el verdadero motor del éxito de la facturación electrónica en España.

Aunque la normativa europea que generalizará la validez de la factura electrónica es de 2001, las autoridades tributarias españolas adoptaron tempranamente medidas que aceleraran su adopción en España ya en el año 2002.

La Agencia Tributaria ha publicado un nuevo Reglamento de facturación en 2003 y ha simplificado en 2005 los requisitos de la factura rectificativa (que sustituye a la nota de abono, con grandes quebraderos de cabeza para las pymes).

Varias entidades financieras han comenzado a dar pasos en el uso propio de la factura electrónica y en el despliegue de plataformas para sus clientes que se enmarcarán en sus sistemas de banca electrónica para empresas.

Gracias a las facilidades que la nueva norma otorga a los mecanismos de facturación a través de terceros, la posible complejidad del uso de la firma electrónica queda escondida en un simplificado interfaz de usuario que se centra en lo esencial: emitir y recibir facturas, y gestionar su cobro o su pago o el anticipo de crédito a través de la entidad financiera.

Unicaja, Caja Madrid o Eurobits son interesantes exponentes de las mejores prácticas en el despliegue de plataformas de factura electrónica que, en manos de las empresas, mejorarán la eficiencia y la competitividad y conllevarán ahorros de hasta 4 euros por factura gestionada.

Voto electrónico en Juntas de Accionistas

4 respuestas

Después de referirme en el Post anterior a los prestadores de servicios de certificación y a Innovoto, he pensado que conviene comentar alguna cosa más sobre este tema, ya que recibo muchas consultas y percibo mucha desorientación.

Al organizar una Junta General, hay que prever el mecanismos para votar a distancia y delegar. Hay que pensar los medios con los que contarán los accionistas, y su procedencia (especialmente las empresas que cotizan en mercados internacionales).

El voto a distancia debe ser compatible con la celebración presencial de la Junta, lo que sigue siendo obligatorio (no se puede convocar una junta virtual: hay que indicar el lugar de la celebración).

Las reglas de limitación de voto, requisitos de quorum, número mínimo de votos en determinadas propuestas, implican considerar el voto a distancia como voto presente en la Junta.

Los votos recibidos pueden estar firmado con cualquier certificado, lo que implica ser capaces de verificar la validez de cualquier certificado, especialmente de los certificados "cualiicados" o "reconocidos".

Al coordinar con Iberclear y con las entidades depositarias es conveniente determinar el sistema de codificación de la tarjeta de asistencia, para permitir su empleo de forma electrónica.

En la convocatoria deben quedar claras las precedencias (voto-delegación, a distancia-presencial) así como los plazos de cada fase de gestión de la junta (convocatoria y definición inicial de puntos en el orden del día, petición por grupos de accionistas de introducción de puntos en el orden del día, publicación del orden del día definitivo, apertura de la urna virtual, cierre de la urna virtual, publicación de estadísticas de voto electrónico, consolidación del voto presencial y a distancia).

En caso de que se tenga constancia de que existen cadenas de representación fiduciaria (por ejemplo cuando las acciones se pueden contratar en diferentes paises, y los registros de Iberclear no reflejan al accionista final sino a alguno de los intermediarios), es conveniente disponer de sistemas que permitan asignar rangos de números de acciones del representante fiduciario, a favor de los representados fideicomitentes, de forma que estos puedan ejercer sus derechos de voto y delegación. El sistema también debe ser capaz de gestionar sistemas de gestión de representación para los accionistas que prefieran que sean especialistas los que en su nombre voten los puntos según sus intereses. 

Aunque el tema tiene cierta complejidad, a dia de hoy, la forma de organizar una junta que tenga en cuenta la participación a distancia de los accionistas está bastante clara. Por eso no se entienden esas convocatorias de juntas (copiadas unas de otras) que no saben ni identificar correctamente los tipos de certificados electrónicos que se pueden utilizar.

 Hay que reconocer que la conflictidad societaria (de los accionistas minoritarios) es muy baja en España, porque hay motivos de sobra para poder impugnar  algunas Juntas, según se aprecia de la redacción de las convocatoras.