Archivo de la categoría: eTítulo

Laboratorio de Confianza Digital ICADE Garrigues

2 respuestas

La Universidad Pontificia Comillas y el despacho de abogados Garrigues, firmaron un convenio para crear el Observatorio ‘Legaltech’, Garrigues-ICADE.

El Observatorio, depende de la Facultad de Derecho (Comillas ICADE), a través del Centro de Innovación del Derecho (CID-ICADE).

En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).

Formando parte del Observatorio se han definido ya varios laboratorios:

Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.

Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.

Hemos creado un Enlace de invitación al Canal de Whatsapp del Laboratorio de Confianza Digital en el que comentaremos novedades y al que se pueden conectar las personas interesadas.

Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.

Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.

Arquitectura y marco de referencia (ARF) de la Cartera IDUE (EUDI Wallet) versión 1.0 en español

3 respuestas

El viernes pasado la Comisión Europea publicó la Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2 y yo escribí sobre ello un artículo en el blog (Arquitectura y marco de referencia de la Cartera europea de identidad digital en EIDAS 2- documento en español) .

Hacía referencia a la publicación de la la versión 1 del documento: «European Digital Identity Wallet Architecture and Reference Framework» que se esperaba a finales de octubre de 2022.

La versión anterior (llamémosle v0.9, aunque no consta ninguna) se publicó el 22 de febrero de 2022 y de ella hice una traducción al español hace unos meses.

A lo largo del fin de semana he realizado la traducción al español de la nueva versión y la pongo a disposición de los interesados en el desarrollo del Juego Herramientas de la Identidad Digital europea.

arf_v100_2023-traduccion-esDescarga

Como se me habrán escapado errores, ruego a quienes los detecten que me lo hagan saber para depurar la traducción en futuras versiones.

Digital por diseño

Deja un comentario

Va llegando el momento de abandonar el término «transformación digital» que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las «piezas de lego» que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos «en la nube», los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el «soporte duradero» o la «simetría probatoria» (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con «nodos eIDAS» como el español que se instancia a través del sistema «Cl@ve«.

 

Smart Degrees y los eTítulos

Deja un comentario

SmartDegrees es una plataforma española que facilita la gestión digital de títulos y certificados académicos, y que utiliza como mecanismo de gestión de evidencias electrónicas el registro en blockchain.

Entre otros aspectos, cuenta con Apps para móvil (Android e iOS) y se integra fácilmente con LinkedIn y en otras plataformas de búsqueda de empleo.

De momento, la Universidad Carlos III ya ofrece conexión con SmartDegrees y otras universidades se irán añadiendo en el futuro.

SmartDegrees utiliza la blockchain Quorum, para la anotación de evidencias electrónicas relacionadas con la expedición de títulos.

Quorum™ es una implementación de código abierto de la Blockchain de Ethereum, desarrollada por JP Morgan Chase que mejora aspectos como la velocidad en la gestión de transacciones. La red Ethereum se caracteriza por dar soporte a SmartContracts (contratos inteligentes) más sofisticados que los disponibles en la red Bitcoin, para los que se utiliza el lenguaje Solidity, similar al JavaScript.

Esta iniciativa se suma a la desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona y que mencioné en el artículo sobre Gestión de eTítulos universitarios mediante Blockchain

La normativa más importante sobre los requisitos de expedición de títulos universitarios oficiales es el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales.

Su artículo 16 trata sobre el Soporte documental o físico y requisitos y dice lo siguiente:

  1. La cartulina soporte de los títulos, de idéntico tamaño para todos ellos, será de material especial con determinadas claves de autenticidad, normalizado en formato UNE A-3, de acuerdo con las prescripciones técnicas y de seguridad determinadas en el Anexo XI. Por Resolución del Director General de Política Universitaria se determinarán las condiciones de suministro de dichas cartulinas a las universidades.
  2. Las cartulinas llevarán incorporado el Escudo Nacional en el ángulo superior izquierdo. Estarán numeradas mediante serie alfanumérica, cuyo control corresponderá a las unidades responsables del proceso de expedición de los títulos.
  3. Las universidades adoptarán, para los títulos que expidan, los atributos, colores, orlas y demás grafismos que estimen convenientes, sin más limitaciones que las establecidas en este real decreto. Asimismo, podrán incorporar a los títulos que expidan su propio escudo u otros, nunca en mayor tamaño que el Escudo Nacional.
  4. Los títulos llevarán impreso todo su texto, así como la firma del rector o rectores de las universidades correspondientes. No se permitirá la incorporación de inscripción alguna no impresa, salvo la firma del interesado y la del responsable de la unidad de títulos oficiales de la universidad.
  5. Cada universidad, previamente a su entrega al interesado, efectuará en el título una estampación en seco de su sello oficial, igual para todos los títulos que expida. Remitirá muestra de dicho motivo a la Subdirección General de Títulos y Reconocimiento de Cualificaciones de este Departamento, a efectos de conocimiento y control de autenticidad.

Es interesante que aunque este artículo parece dar a entender que los título se tienen que expedir en soporte papel, en realidad no es así, ya que la normativa administrativa (Ley 39/2015) permite realizar copias auténticas en soporte papel.

La primera copia auténtica en papel sería la que requeriría dar cumplimiento a los indicados requisitos, mientras que el documento original expedido por la universidad sería el electrónico, y sería posible crear copias auténticas en papel adicionales a la primera, que sería la única dotada de solemnidades especiales.

En concreto, el artículo 27 indica

(…)

2. Tendrán la consideración de copia auténtica de un documento público administrativo o privado las realizadas, cualquiera que sea su soporte, por los órganos competentes de las Administraciones Públicas en las que quede garantizada la identidad del órgano que ha realizado la copia y su contenido.

Las copias auténticas tendrán la misma validez y eficacia que los documentos originales.

(…)

c) Las copias en soporte papel de documentos electrónicos requerirán que en las mismas figure la condición de copia y contendrán un código generado electrónicamente u otro sistema de verificación, que permitirá contrastar la autenticidad de la copia mediante el acceso a los archivos electrónicos del órgano u Organismo público emisor.

En el caso de las universidades privadas, su procedimiento es similar, pero basado en el Reglamento europeo UE 910/2014 (EIDAS) que en su artículo 46 indica:

No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.

 

 

Formación y certificación de auditores #EIDAS

4 respuestas

TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

Gestión de eTítulos universitarios mediante Blockchain

1 respuesta

Se ha llevado a cabo en España un uso pionero de blockchain para la gestión inter-universitaria de títulos, desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona, asociadas a @Alastria Blockchain Ecosystem. Surge de un planteamiento de transformación digital desde el laboratorio universitario Blockchain & DLT Lab CEU.

Aunque la acreditación curricular de las titulaciones oficiales se basa en la posesión física de un documento en soporte cartáceo al que se le deben incorporar medidas de seguridad para evitar la falsificación, debido a los requisitos formales definidos en el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales, el desarrollo de la normativa orientada a la digitalización de las administraciones públicas abre otras opciones a la gestión de su autenticidad.

Los sistemas probatorios digitales como la firma electrónica o los códigos seguros de verificación facilitan la creación de documentos electrónicos con consideración de original, aunque se facilite su transcripción a documentos en soporte papel como medio de presentación en contextos desconectados.

En los sistemas de tipo blockchain se combinan habitualmente técnicas de firma electrónica junto con otras de preservación digital, lo que permite usarlos en contextos diferentes a la gestión de ciberdivisas.

Las entidades citadas han puesto en funcionamiento el primer sistema interuniversitario de gestión, acreditación y reconocimiento de titulaciones universitarias mediante la tecnología Blockchain, destinado a dar soporte a la autenticidad de los títulos por vía electrónica.

La posibilidad de falsificar títulos, los complejos procedimientos probatorios para demostrar la formación recibida en el acceso a Másteres oficiales y a Doctorado (tanto para los grados oficiales como para cualquier otra formación complementaria), los potenciales casos de fraude, y el creciente interés por los denominados Grados Abiertos, plantean retos para cuya resolución pueden utilizarse mecanismos digitales.

Entre ellos, cabe destacar las potenciales ventajas de las tecnologías DLT (Distributed Ledger Technologies) o RJT (Replicated Journal Technologies) entre las que se encuentra la conocida como blockchain.

Tras analizar los retos y las posibles soluciones, Ibermática y el Grupo de Universidades CEU, ambos miembros de ALASTRIA -la red nacional de Blockchain-, han trabajado en el desarrollo de un sistema sobre la plataforma chainTalent junto con el Blockchain & DLT Lab de la Universidad CEU San Pablo, dirigido por José Luis Roig y Ricardo Palomo.

Este innovador sistema de gestión de titulaciones permitirá que los estudiantes añadan, de forma complementaria a su acreditación formativa convencional, un registro distribuido que aporta verificabilidad inmediata y que se integra en su identidad digital, salvaguardando los requerimientos de la normativa de protección de datos.

La aplicación de este sistema de gestión universitaria es ampliable a muchos procesos administrativos de su entorno. Es destacable su potencial en el contexto del Espacio Europeo de Educación Superior y de la movilidad internacional de los estudiantes, por lo que esta primera aplicación supone un paso decisivo en el establecimiento de los criterios estandarizados para el intercambio de datos académicos, no sólo entre universidades, sino también con empresas e instituciones. El sistema, bajo el estándar openbadges, permite incluir también la acreditación de competencias y habilidades formativas, así como formación extracurricular o prácticas.

UNIA-eTitulo-BlockchainEn este sentido, tanto ALASTRIA como la Conferencia de Rectores Universitarios de España CRUE (igualmente miembro de ALASTRIA) han organizado en los meses anteriores diversos encuentros universitarios para avanzar en este campo.

Pablo Carretero, director de Estrategia Blockchain de Ibermática, considera que “el gran reto de chainTalent es convertirse en una plataforma para el tratamiento y gestión del talento de las personas, poner en valor la información curricular como un activo de gran importancia en el presente y futuro de las personas”. “En este camino por recorrer, es primordial para Ibermática la creación de un ecosistema, no sólo de instituciones académicas, sino también de cualquier compañía pública y privada que sume en la identidad de un individuo”, explica.

Ricardo Palomo es Catedrático de la Universidad CEU San Pablo, vicepresidente de la Fundación para la Innovación Financiera y la Economía Digital (FIFED) y miembro de la Comisión de Investigación y Transformación Tecnológica (ITT) de Alastria. A su juicio, “la certificación mediante blockchain supone la irrupción de una verdadera transformación digital del S. XXI en la gestión universitaria, que va más allá de su vertiente administrativa, pues aporta a los estudiantes la inmediatez y garantía de veracidad que demandan las empresas; y permite incluir no sólo calificaciones y títulos, sino también las competencias y capacidades que adquieren en su proceso de formación universitaria y postuniversitaria. Por otra parte, el paso de los estudiantes por la universidad es un buen momento para arrancar con el uso de su primera identidad digital sobre la que blockchain añadirá capas de valor y de utilidad”.

Con el nacimiento de chainTalent, los alumnos de CEU y de todas aquellas universidades que se unan a este ecosistema podrán participar en los procesos de selección de profesionales con la garantía de estar compartiendo su información curricular en un entorno fiable y transparente. Los usuarios de chainTalent podrán compartir sus titulaciones en otras redes sociales del ámbito profesional referenciando el link que la aplicación les proporciona para su validación. En este sentido, desde Ibermática y el CEU ya trabajan conjuntamente para conseguir la regulación y legitimidad de los títulos, tanto públicos como privados, en plataforma blockchain.