Archivo de la categoría: Firma digital

Consultoría y Auditoría sobre firma digitalizada en paises europeos y latinoamericanos

Deja un comentario

Certificación de soluciones

Certificación de soluciones

Hemos insistido desde EADTrust en la importancia de seguir ciertos criterios para que una firma manuscrita captada en un dispositivo como tablet (dispositivo autónomo) o tableta (dispositivo asociado a un equipo de sobremesa) tenga valor legal.

El cumplimiento de los criterios no conviene reducirlo a una mera declaración de la parte que implementa la solución sino que es preferible llevar a cabo una auditoría independiente que lo acredite.

En EADTrust hemos definido 10 criterios (a modo de “10 mandamientos”) que permitirían acreditar una implementación diligente y con respeto a las mejores prácticas para preservar entre otros aspectos, la confidencialidad de los datos biométricos, la gestión de un soporte duradero y la simetría probatoria (el método por el que el firmante puede acreditar que un documento electrónico está o no refrendado con su firma manuscríta verdadera).

Aportamos consultores a los proyectos, para encontrar la mejor funcionalidad enmarcada en las arquitecturas propia de cada entidad, maximizando el valor legal y minimizando el esfuerzo de despliegue.

También hemos formado auditores para llevar a cabo las auditorías en base a las cuales emitimos informes de cumplimiento y expedimos los certificados de calidad.

Sin embargo, en las versiones iniciales de nuestra metodología hicimos especial hincapié en demostrar que las firmas digitalizadas avanzadas están perfectamente alineadas con la legislación española de firma electrónica y con la legislación procesal en materia mercantil y civil (subsidiaria de otras normativas procesales) referida al cotejo de letras y valoración pericial de las firmas digitalizadas.

Este esfuerzo inicial se justificaba porque con frecuencia debíamos explicar a los juristas de las entidades nuestra metodología y nuestro enfoque legal y justificar a los responsables técnicos de los proyectos  los cambios que pedíamos en las arquitecturas técnicas y en los procesos involucrados en los sistemas que debían usar las firmas digitalizadas avanzadas.

Como nuestros primeros clientes eran españoles, tenía pleno sentido nuestro planteamiento de que los principios de la FMDA (Firma Manuscrita Digitalizada Avanzada) se ajustaban como un guante a la legislación española.

Desde hace unos meses hemos realizado un esfuerzo significativo en identificar las normativas de diferentes países europeos y latinoamericanos que nos permiten demostrar que nuestros principios pueden ser considerados “invariantes legales” aplicables a diferentes entornos legales y jurisdicciones.

Ello se debe, en buena medida, a que se han identificado las mejores prácticas mundiales de gestión de evidencias electrónicas y en un aspecto relevante, a que en los países con legislación sobre firma electrónica el articulado tienes aspectos comunes compatibles con el uso de la criptografía de clave pública.

Y en los países en los que esa legislación no existe o está incompleta, la legislación procesal (que si está bien desarrollada en todo el mundo) es suficiente para permitir la aportación de pruebas con un elevado grado de inoponibilidad.

En el momento actual hemos avanzado con la normativa europea, afianzada en varias directivas y reglamentos europeos, centrándola en las legislaciones nacionales de Alemania , Francia, Grecia Portugal e Italia. Paulatinamente iremos completando otros países.

En Latinoamérica hemos ajustado nuestro modelo a las legislaciones de México, Colombia, Perú y Chile.

Nuestra tesis ahora es que los principios de la Firma Manuscrita Digitalizada Avanzada desarrollados por EADTrust se adecúan a cualquier Ley Aplicable en cualquier lugar del mundo. Llame al +34 91 7160555 para saber más sobre la firma manuscrita digitalizada.

¿Cómo llevamos la adaptación a SEPA?

1 respuesta

Aunque el 1 de febrero de 2014 era la fecha inicialmente prevista para eliminar las modalidades no-SEPA de transferencias y domiciliaciones bancarias que se realicen en España y el resto de los países miembros de la Unión Europea, lo cierto es que el cambio no está siendo tan radical como parecía, empezando por el retraso de algunas entidades financieras de proporcionar los servicios adecuados para la transición a los estándares y normas SEPA (Single Euro Payments Area). Los principales beneficios que se esperan de la implantación de una Zona Única de Pagos en Euros son:

  • La desaparición de barreras para la ejecución de pagos internacionales, especialmente a nivel de costes.
  • La posibilidad de utilizar una sola cuenta bancaria para operaciones en euros dentro de la zona SEPA, sin requerir abrir cuentas en varios paises.
  • Una cierta mayor protección para los usuarios de servicios de pago.
  • El uso de estándares comunes, que permite mejoras de eficiencia en los procesos de ejecución de pagos, cuando se trata de operaciones internacionales o de empresas multinacionales..

Los principales aspectos a tener en cuenta para la adaptación, son los siguientes:

  • El IBAN será el identificador único de cualquier cuenta de pago en SEPA, reemplazando a los actuales identificadores de cuenta nacionales (el CCC en el caso español). Muchas entidades ofrecen servicios gratuitos de conversión para cuentas españolas
  • Nuevo formato de intercambio de información entre las Empresas y las Entidades bancarias.
  • Adeudos Directos SEPA en fichero electrónico, orientado a particulares– Esquema básico (core): Serie normas y procedimientos bancarios Cuaderno Nº 19-14.
  • Adeudos Directos SEPA en fichero electrónico, orientado a empresas – Esquema B2B (Business to Business): Serie normas y procedimientos bancarios Cuaderno Nº 19-44.

Puede ampliar información sobre la Diferencias entre la modalidad B2B y la básica del mandato SEPA de adeudo por domiciliaciones Creación de un mandato. El mandato es el medio por el que el deudor autoriza y consiente al acreedor a:

  • Iniciar los cobros mediante el cargo en la cuenta indicada por el deudor.
  • Autorizar a la entidad del deudor a cargar en su cuenta los adeudos presentados al cobro por la entidad bancaria del acreedor.

El mandato, que tendrá una referencia única, debe estar suscrito por el deudor como titular de la cuenta de cargo o persona en disposición de poder otorgado por éste, antes de iniciar el cobro de los adeudos. Puede ampliar información sobre

Las adaptaciones tendrán unos costes asociados para las entidades bancarias y para las empresas de difícil recuperación, ya que no producirán cambios significativos en el aumento de los negocios ni el incremento de los márgenes de beneficio. Por ello, el mejor enfoque es aprovechar la necesidad de cambio para acometer algún otro cambio técnico y organizativo que sí se traduzca en reducción de costes o en mejora de posición competitiva.

Entre los ejemplos de posibles soluciones, cabe la posibilidad de implantar sistemas de firma digitalizada o de firma vocal para la creación de los mandatos: Una de las características de la normativa SEPA es que, a partir del 1 de febrero de 2014, es obligatorio para las empresas recabar la firma de los clientes que contraten un servicio que será cobrado a través de un adeudo bancario. Sin el consentimiento expreso del cliente con alguna modalidad de firma, manuscrita o electrónica, la empresa prestadora del servicio no podrá solicitar a ninguna entidad bancaria el cobro de sus recibos, o podrá ver como los recibos son devueltos por el acreedor. Existen diferentes posibilidades para la obtención de la firma de los clientes:

  • Mediante la firma del mandato en papel.
  • Mediante la firma del mandato por medios electrónicos, a través de Internet y/o dispositivos móviles.
  • Mediante firma mediante un sistema de confirmación por llamada telefónica que esté diseñado con las debidas garantías.

Por otra parte, SEPA establece que la información contenida en los mandatos, incluida las firmas, debe quedar almacenada en poder de la empresa acreedora mientras esté en vigor el periodo de reembolso, así como durante los plazos que establezca la Ley para la conservación de documentos una vez cancelado.

También puede ser una gran oportunidad para que las empresas comiencen la adaptación a la Ley 3/2014, de 27 de marzo, por la que se modifica el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios.  Ver más en este artículo sobre Firma vocal como soporte duradero para call centers

EN 319 162 Associated Signature Containers (ASiC)

Deja un comentario

La norma TS 102 918 ahora pasa a denominarse EN 319 162 tras la armonización normativa propiciada por el Mandato 460.

El comercio electrónico se está convirtiendo en la forma en la que tendrán lugar en el futuro de los negocios entre las empresas a través de área local, amplia y redes globales. La confianza en esta forma de hacer negocios es esencial para el éxito y el desarrollo continuo del comercio electrónico .

Por tanto, es importante que las empresas que utilizan este medio electrónico en su actividad empresarial tengan controles de seguridad adecuados y mecanismos para proteger sus transacciones y garantizar la confianza  con sus socios comerciales. En este sentido, la firma electrónica es un componente de seguridad importante que se puede utilizar para proteger la información y proporcionar la confianza en el comercio electrónico y en las gestiones con las administraciones públicas.

La Directiva Europea sobre un marco comunitario para la firma electrónica [ i.3 ] define la firma electrónica como : «Los datos en formato electrónico que se adjuntan o se asocian lógicamente a otros datos electrónicos y que sirve como Método de autenticación «.

Las normas EN 319 122-1  ( CAdES ) y EN 319 132-1  ( XAdES ) definen formatos para la firma electrónica en línea con esta definición . Estos formatos incluyen modos de uso mediante los cuales la firma se disocia de los datos a los que se aplica. La norma EN 319 162 especifica el uso de estructuras de contenedores para vincular firmas disociadas («detached»), tanto Firmas CAdES como firmas XAdES  o  sellos de tiempo (RFC 3161), con uno o más objetos firmados a de los que se derivan las firmas.

Conviene recordar la denominación anterior de estas normas:

  • CAdES: EN 319 122 anteriormente TS 101 733. Firmas electrónicas avanzadas usando sintaxis ASN.1 y basado en el formato CMS
  • XAdES: EN 319 132 anteriormente TS 101 903, Firmas electrónicas avanzadas usando sintaxis y formato XML

Reached Member States’ endorsement of a final draft regulation on electronic identification and trust services for electronic transactions in the internal market

Deja un comentario

Vice-President Neelie Kroes and Commissioner Michel Barnier welcomed last friday (February, the 28th) Member States’ endorsement of a “Draft regulation on electronic identification and trust services for electronic transactions” in the internal market.

The Regulation will enable, for example, students to enrol at a foreign university online; citizens to fill on-line tax returns in another EU country; and businesses to participate electronically in public calls for tenders across the EU, to mention just a few of multiple new digital trust related services.

Neelie Kroes said: «The adoption of this Regulation on e-ID is a fundamental step towards the completion of the Digital Single Market. This agreement boost trust and convenience in cross-border and cross-sector electronic transactions. I would like to thank the European Parliament, especially ITRE’s rapporteur, Marita Ulvskog and IMCO’s rapporteur, Marielle Gallo, the shadow rapporteurs, as well as the Greek, Lithuanian, Irish and Cypriot Presidencies for all their work on this file.»

Last friday (February, the 28th), EU ambassadors endorsed the political agreement reached between representatives of the European Parliament, Commission and Council on Tuesday 25 February on the final elements of this significant single market proposal.

A predictable regulatory environment for eID and electronic trust services is key to promote innovation and stimulate competition. On the one hand, it will ensure that people and businesses can use and leverage across borders their national eIDs to access at least public services in other EU countries fully respecting privacy and data protection rules. On the other hand, it will remove the barriers to seamless electronic trust services across borders by ensuring that they enjoy the same legal value as in paper-based processes.

Michel Barnier, Commissioner for Internal Market and Services added:

«I welcome this agreement which is key to completing our work on the Single Market Act. It is an important step for the development of e-commerce, e-invoicing and e-procurement. The new rules will allow all actors in the single market – citizens, consumers, businesses and administrative authorities – to develop their «on-line» activities.»

Background regarding draft Regulation on electronic identification and trust services for electronic transactions

On 4 June 2012, the European Commission proposed a draft Regulation on electronic identification and trust services for electronic transactions in the internal market (see IP/12/558 and MEMO/12/403)

The Regulation is due to be formally endorsed by the European Parliament in the April 2014 plenary session and by the Council of Ministers in June. It will come into force on 1st July 2014 and will be directly applicable cross the EU from that date. The economic effect will be immediate, overcoming problems of fragmented national legal regimes and cutting red tape and unnecessary costs.

Foster the interoperability of eID usage and trust services. The existing EU legislation on eSignatures has been strengthened and extended to cover the full set of electronic identification and trust services and make it more fit for the digital single market. This will have a huge impact on the legal validity and interoperability of national and cross-border electronic transactions.

The so named eIDAS Regulation provides for principles, like:

  • Transparency and accountability: well-defined minimal obligations for Trust Services Providers (TSPs) and liability;
  • Trustworthiness of the services together with security requirements for TSPs
  • Technological neutrality: avoiding requirements which could only be met by a specific technology;
  • Market rules and building on standardisation

And defines digital trust related services such as:

  • Electronic identification,
  • Electronic signatures,
  • Electronic seals,
  • Time stamping,
  • Electronic delivery service,
  • Electronic documents admissibility,
  • Website authentication

After eIDAS entering into force,  a EU Member State:

  • May ‘notify’ the ‘national’ electronic identification scheme(s) used at home for access to its public services
  • Must recognise ‘notified’ eIDs of other Member States for cross-border access to its online services when its national laws mandate e-identification
  • Must provide a free online authentication facility for its ‘notified’ eID(s)
  • Is liable for unambiguous identification of persons and for authentication;

XVII Edición Master en Negocio y Derecho de las Telecomunicaciones, Internet y Audiovisual

Deja un comentario

Este año se celebra la XVII Edición del Master en Negocio y Derecho de las Telecomunicaciones, Internet y Audiovisual organizado por el despacho Cremades & Calvo-Sotelo, en colaboración con el Centro Universitario Villanueva, y al que amablemente me han invitado, una vez más, como profesor.

El MNDTIA tiene como objetivo la formación altamente cualificada de abogados que deseen ejercer la abogacía en el sector de las telecomunicaciones, combinando los conocimientos teóricos específicos de esta rama del derecho con la realización de prácticas en empresas líderes del sector y en nuestro Despacho.

El MNDTIA es el master pionero en materia de telecomunicaciones & TIC en España, se viene impartiendo desde hace 16 años y ha sido diseñado por reputados profesionales especialistas del sector, y pensado para aquellos que quieran crecer profesionalmente adquiriendo conocimientos especializados en una rama del derecho que abarca uno de los sectores que más profundamente se ha visto transformado en los últimos años y uno de los que mayor potencial de futuro aguarda debido a la revolución digital.

Yo impartiré la sesión de Firma Digital, introduciendo algunos conceptos de Diplomática Digital.

Exploratory seminar on e-signatures for e-business transactions in the Southern Mediterranean region

Deja un comentario

Los días 22 y 23 de enero de 2014 se ha celebrado en el Palacio de Pedralbes de Barcelona el encuentro de especialistas  en firma electrónica de Europa y de los países del mediterráneo para analizar conjuntamente la posibiidad de crear modelos de confianza electrónica para permitir el despliegue de sistemas de certificación interoperables. Este encuentro, el segundo tras la reunión de Amán, fue auspiciado por el organismo europeo  Union for the Mediterranean (UfM) que tiene su sede en Barcelona y cedió sus instalaciones. Pude participar en el encuentro y pienso que fue un intercambio de pareceres muy enriquecedor.

eSignature-Barcelona

In order to promote e-signature solutions for e-business development in the Euro Mediterranean region, the European Commission organised two seminars.

The first explanatory seminar took place in Amman, Jordan on November 11/12, 2013 and was co-hosted by the Telecommunications Regulatory Commission (TRC). The principle aim was to identify some of the common business needs for intra-regional and EU-Southern Mediterranean transactions, compare the existing legislation in place and discuss the common and local challenges of implementing an e-signature framework. The seminar was attended by around 100 government and private stakeholders from over 23 different European, Southern Mediterranean and Gulf countries, as well as from UNCITRAL (United Nations Commission on International Trade Law). It confirmed that the potential and the interest to cooperate is indeed great.

The final explanatory seminar took place in Barcelona, Spain on January 22/23, 2014 and was co-hosted by the Union for the Mediterranean (UfM). The principle aim was to build on the findings of the previous seminar, include any additional information, and reach a set of concrete common conclusions and recommendations through the organisation of panels. The seminar was attended by around 60 government and private stakeholders from over 19 different European and Southern Mediterranean countries. The seminar reached 9 main conclusions.

Preparando el reglamento europeo de firma electrónica

1 respuesta

En el evento de ayer se repasaron los aspectos preparatorios de la aprobación del Reglamento Europeo de Servicios de Confianza Digital.

Algunas ideas y conclusiones rápidas:

  • En febrero de 2014 estará listo el texto final del reglamento y se aprobará, previsiblemente en abril de 2014.
  • El debate en la presentación de enmiendas está siendo algo más complicado de lo previsto. Por lo que yo he visto en las páginas de la Comisión Europea en las que se publican, la mayor parte de las propuestas son «peoras» en vez de «mejoras». Confiemos en que no prosperen. Es el problema de que los políticos opinen de cosas que no entienden bien.
  • La redenominación de estándares de firma electrónica y creación de otros nuevos, sigue su curso en la ejecusión del «Mandato 460«
  • Los países miembros tendrán que reorganizar su legislación, porque esta vez va en serio  el planteamiento de interoperabilidad paneuropea. Aunque veo los plazos para ello demasiado largos.
  • CAB Forum y ETSI están alineados respecto a los requisitos a imponer a los Prestadores de Servicios de Confianza (especialmente Prestadores de Servicios de Certificación).
  • Hay que prepararse para eliminar CA Root de algoritmo RSA de 1024 bits y para ir abandonando el algoritmo de hash SHA-1

 

 

 

 

Alternativas al seguro de responsabilidad civil de los Prestadores de Servicios de Certificación.

1 respuesta

El artículo 20. de Ley 59/2003, de 19 de diciembre, de firma electrónica, señala la obligaciones de los prestadores de servicios de certificación que expiden certificados reconocidos.

En su apartado segundo se indica como una de esas obligaciones:

2. Los prestadores de servicios de certificación que expidan certificados reconocidos deberán constituir un seguro de responsabilidad civil por importe de al menos 3.000.000 de euros para afrontar el riesgo de la responsabilidad por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan.

La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea al menos de 3.000.000 de euros.

Las cuantías y los medios de aseguramiento y garantía establecidos en los dos párrafos anteriores podrán ser modificados mediante real decreto.

Esta parte de la norma es un vestigio de la anterior regulación, el Real Decreto-ley 14/1999, de 17 de septiembre que en su artículo 12 establecía entre las obligaciones de los prestadores de servicios de certificación que emiten certificados reconcidos:

Disponer de los recursos económicos suficientes para operar de conformidad con lo dispuesto en este Real Decreto-ley y, en particular, para afrontar el riesgo de la responsabilidad por daños y perjuicios. Para ello, habrán de garantizar su responsabilidad frente a los usuarios de sus servicios y terceros afectados por éstos. La garantía a constituir podrá consistir en un afianzamiento mercantil prestado por una entidad de crédito o en un seguro de caución.

Inicialmente, la garantía cubrirá, al menos, el 4 por 100 de la suma de los importes límite de las transacciones en que puedan emplearse el conjunto de los certificados que emita cada prestador de servicios de certificación. Teniendo en cuenta la evolución del mercado, el Gobierno, por Real Decreto, podrá reducir el citado porcentaje, hasta el 2 por 100.

En caso de que no se limite el importe de las transacciones en las que puedan emplearse al conjunto de los certificados que emita el prestador de servicios de certificación, la garantía a constituir, cubrirá, al menos, su responsabilidad por un importe de 1.000.000.000 de pesetas (6.010.121,04 euros). El Gobierno, por Real Decreto, podrá modificar el referido importe.

Estaba clara la ignorancia del legislador en aquella norma, pero no lo resolvió bien el nuevo legislador en la del 2003.

Por un lado, ninguna de las formas de establecer la responsabilidad civil de los prestadores de servicios de certificación está alineada con la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco común para la firma electrónica.

Esto hace que la labor de los PSC esté especialmente penalizada en España frente al resto de países de la Unión Europea, y por ello no es extraño que diferentes prestadores de servicios de certificación técnicamente muy competentes hayan tenido que clausurar sus actividades.

Por otro lado, la ignorancia del legislador lleva a que se definan modelos de cumplimiento que no son válidos para los prestadores de servicios de certificación.

Por ejemplo, la imposición de un Aval o Seguro de Caución puede ser válidos como garantía en una licitación, y quizá por eso se ha filtrado a esta norma procedente de otras regulaciones. Pero no tienen sentido en un servicio de certificación.

El Aval y el seguro de caución implican la identificación del beneficiario al contratarlo, algo de lo que nada dice la norma.

Supongamos que se designa beneficiario del instrumento financiero (aval o caución)  al órgano supervisor de los prestadores de servicios de certificación. ¿Cómo se compensa a quien ha sufrido un perjuicio por una actuación inadecuada del Prestador? Posibles damnificados: un titular de certificado o un tercero que confía en un certificado. Claramente ninguno de ellos tiene una opción para ver satisfechas sus reclamaciones, salvo la avenencia del PSC, para lo cual es inútil el Aval y la Caución. Y si se usa como mecanismos de coacción del supervisor (algo inútil, porque para ello cuenta con un régimen sancionador) no tendría sentido ejecutar un aval de 3 millones de euros por una incidencia valorada en 100 euros. Se pierde completamente el principio de proporcionalidad.

La única opción correcta es contratar un seguro de responsabilidad civil. Sin embargo, no es posible contratarlo en España porque ninguna compañía aseguradora española lo comercializa. Si se consulta a la Dirección General de seguros para que designe una aseguradora o al Consorcio de Compensación de Seguros para que oferte el citado seguro (por ser un seguro obligatorio), responde diciendo que no procede, por contemplar la Ley otras modalidades de aseguramiento de la responsabilidad.

Al final, la única opción es contratarlo en una entidad extranjera (o incumplir la ley).

Y por otro lado, ¿por que 6 millones de euros (como en el RD  14/1999) o  3 millones de euros (como en la Ley 59/2003)? No hay ninguna razón actuarial para dar esa cifra o cualquier otra. Los actuarios de las entidades aseguradoras calculan las pólizas de los riesgos especiales o singulares, en base a valoración de siniestros posibles (coste de indemnización) y de su probabilidad, que es mayor conforme aumenta el número de certificados expedidos. Al establecer una cuantía tan desproporcionada sin ninguna razón, las compañías aseguradoras se curan en salud y cobran pólizas extremadamente elevadas sin siquiera considerar los impactos reales del riesgo atendido.

Han pasado 10 años desde que se aprobó la Ley y casi 15 desde la aprobación del Real Decreto, y esta inconsistencia sigue en el marco jurídico español de los prestadores de servicios de certificación penalizándolos frente a los de otros países. Afortunadamente, en breve se aprobará el Reglamento del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior que en su artículo 19 indica que los proveedores de servicios de confianza cualificados que prestan servicios de confianza cualificados:

asumirán el riesgo de la responsabilidad por daños y perjuicios contando con recursos financieros suficientes o con pólizas de seguros de responsabilidad adecuadas;

Puesto que es un Reglamento Europeo es de directa aplicación en todos los países de la Unión Europea, y deroga las leyes nacionales de Firma Electrónica.

Afortunadamente acabará con la discriminación de los Prestadores españoles de Servicios de Confianza.

Ampliación: Seguro de caución

El artículo 68 de la Ley española de Contrato de Seguro 50/1980 del 8 de octubre de 1980 establece:

Por el seguro de caución el asegurador se obliga, en caso de incumplimiento por el tomador del seguro de sus obligaciones legales o contractuales, a indemnizar al asegurado a título de resarcimiento o penalidad los daños patrimoniales sufridos, dentro de los límites establecidos en la Ley o en el contrato. Todo pago hecho por el asegurador deberá serle reembolsado por el tomador del seguro.

Ampliación: Avales y fianzas

Ver el TÍTULO XIV de Código Civil

Otros artículos anteriores sobre este tema:

Auditoría de firma electrónica: firma electrónica certificada

Deja un comentario

Los sistemas de gestión de firmas electrónicas se basan en un enjambre de normas técnicas y jurídicas que hacen difícil saber si se han adoptado adecuadamente.

Las múltiples opciones en la gestión de las firmas electrónicas permiten mucha flexibilidad a la hora de diseñar los sistemas, pero un error de implementación puede arruinar un buen diseño inicial.

Por eso, la posibilidad de auditar y certificar las soluciones de firma electrónica es una garantía para los implementadores de sistemas que gestionan firmas electrónicas y también para los usuarios de esos sistemas.

EADTrust es una entidad que audita sistemas de gestión, workflows, gestores documentales, CRMs y ERPs que emplean firmas electrónicas y da una opinión sobre si se implementan de forma adecuada. El análisis contempla gestión de archivo de los documentos electrónicos firmados y los procesos anejos que en los que se precisa la fuerza probatoria de la firma electrónica.

Los sistemas auditados por EADTrust contemplan los siguientes elementos:

  1. La firma se realiza con certificados reconocidos y dispositivos seguros de creación de firma, o se usa en contextos en los que alguno de estos requisitos no es exigible.
  2. La firma incluye información del momento de firma y de que el certificado utilizado para firmar no estaba revocado en ese momento.
  3. La firma se realiza con certificados emitidos por prestadores que cumplen la normativa aplicable sin más restricciones que las debidas al interés de los ciudadanos que usan las firmas.
  4. La firma permite comprobar los datos principales de los firmantes a partir de los certificados, sin necesidad de usar herramientas especiales
  5. Es posible acceder a una versión del documento que incluye la firma electrónica diseñado para ser apreciado por una persona sin conocimientos especiales, incluso en detalles derivados de la propia interpretación de la firma electrónica
  6. Los documentos son verificables en cualquier momento por un tercero a partir de la información de representacion visible de documento, y a partir de la codificación (código fuente) que incluye sus datos estructurados, de ser aplicable.

Las soluciones auditadas que cumplen todos estos requisitos reciben un informe favorable y pueden exhibir el logo de “firma certificada” creado por EADTrust.

La información sobre los sistemas auditados se incluye en las siguientes páginas web de referencia:

Voto electrónico en asociaciones y colegios profesionales

1 respuesta

Aunque hay algunas opiniones contrarias al voto electrónico en convocatorias electorales de tipo ciudadano, en mi opinión sus ventajas superan a sus inconvenientes y, desde luego, a otros mecanismos de voto a distancia, como el voto por correo. No se trata tanto de sustituir el voto presencial por el electrónico (sobre todo en contextos en los que los procedimientos legales están muy aquilatados) como de suplementarlo en los casos en los que la posibilidad del voto presencial no cubre todas las necesidades de los ciudadanos.

Las críticas se centran en algunos aspectos de voto presencial con asistencia de máquinas de voto, por algunos fallos que se han producido en el pasado en contextos muy concretos y que posiblemente estén superados hoy en día.

Lo cierto es que existen colectivos como las asociaciones y los colegios profesionales que se pueden beneficiar de la tecnología para mejorar la participación de sus colegiados, miembros y asociados en las actividades de la entidad.

El voto electrónico, en colegios profesionales y asociaciones se puede desplegar en diferentes ámbitos, pero citaré aquí los dos principales:

  • Voto electoral para la elección de candidatos o candidaturas a los órganos de decisión de la entidad
  • Voto en relación con los puntos del día de las Juntas y Asambleas

En ambos casos, es esencial contar con una buena gestión de miembros, de modo que se disponga de información actualizada sobre domicilio personal o profesional y formas de contacto electrónico como número de teléfono fijo, número de teléfono móvil y una o más direcciones de coreo electrónico. Este último aspecto es relativamente sencillo en algunas ocasiones ya que el colegio profesional o la asociación puede proveer servicios de correo electrónico.

La amplia disponibilidad de certificados electrónicos, relativamente habitual en algunos colectivos, y bastante generalizada en España en relación con los certificados del DNI electrónico facilita mecanismos de comprobación de identidad, que pueden coexistir con otros de uso más sencillo en teléfonos móviles y tabletas.

Para cubrir adecuadamente las especialidades del voto electrónico es recomendable revisar los estatutos del colegio o de la asociación y, cuando existe, el reglamento de régimen interior y el reglamento electoral. Frecuentemente es necesario introducir alguna modificación en la normativa de funcionamiento de la entidad para dar cobertura al voto electrónico, por lo que el proceso debe realizarse con la anticipación adecuada para que los órganos de gobierno aprueben los cambios. Finalmente es altamente recomendable la realización de un reglamento de voto electrónico que cuente con el máximo consenso posible.

En EADTrust hemos ayudado a diferentes entidades a definir y desplegar sus modelos de voto electrónico,, y contamos con herramientas propias para gestionarlo (innovoto).

Podemos ayudar en diferentes aspectos:

  • Revisión de estatutos, reglamentos y normas internas
  • Realización o revisión del reglamento de voto electrónico
  • Auditoría de un sistema de voto electrónico ya existente
  • Definición del modelo de identificación de miembros en relación con el censo electoral.
  • Apoyo en la depuración de datos del censo electoral
  • Despliegue de un sistema de voto electrónico en los sistemas informáticos de la entidad
  • Alojamiento del sistema de voto electrónico en infraestructura técnica externalizada.

Para más información llámenos al +34 91 7160555 o al 902 365 612 o visite la página web de Innovoto.