Ya se han difundido los primeros programas de «Tiempo de Emprendedores», de Radio Lider en los que colabora Albalia Interactiva, junto con Caixa Galicia y la Cámara de Comercio de A Coruña.
Estos días hemos estado desarrollando en Albalia una herramienta de gestión de firmas electrónicas adecuada al sistema de factura electrónica (comprobantes fiscales digitales) propuesto por el SAT, Servicio de Administración Tributaria de México.
En particular, el producto de Albalia para la verificación de facturas digitales del SAT se basa en dos procesos, uno de verificación de firma, y otro segundo de validación de certificados.
El primero, se encarga de comprobar que la firma que viene en el documento SAT está firmado por el certificado que le acompaña en dicho documento.
Para ello se han de recuperar los datos que se firmaron y que se encuentran en el propio documento y ponerlo en el formato el cual se firmó. Una vez se tiene el documento que se firmó se recupera la clave pública del certificado y se valida con el algoritmo “SHA1withRSA”. La función reportará un error siempre que los datos introducidos no sean los mismos que se firmaron, o si los datos fueron firmados por otra clave privada asociada a otro certificado distinto al que acompaña a la factura.
Una vez se ha verificado la firma, se procede a la validación del certificado, para ello se validan tres cosas:
Es curioso que uno de los temas que nos ha llevado cierto tiempo es identificar los certificados raiz de confianza (la Root CA) del servicio del SAT, ya que es una información que no aparece fácilmente buscando en Google, ni informan sobre ello en las abundantes páginas informativas del SAT.
Al final, tras deducir que el emisor de certificado root es Banxico, Banco de México, banco central del Estado Mexicano, pudimos identificar la información de los certificados, que se decarga como un fichero ZIP, y no como fichero CRT.
Este es el enlace por si hay más especialistas que se encuentren ante el mismo problema: http://www.banxico.org.mx/sistemafinanciero/servicios/MAE/Instcert.zip
Aunque debe reconocerse que el esfuerzo de generación de especificaciones por los especialistas del SAT ha sido muy importante, es una lástima que no hayan seguido más de cerca los estándares, especialmente los más actuales.
Se puede decir en relación con los formatos de factura electrónica y también en relación con los de firma electrónica. Respecto a esta última, su implementación requiere desarrollar software ad-hoc para generar y validar firmas electrónicas, ya que se aparta de los estándares.
Por otro lado el tipo de firma generado es lo que en el marco de los estándares TS 101 733 y TS 101 903 llamaríamos «firma simple» lo que nos lleva a pensar que esas firmas pueden tener problemas en el futuro al no contar con un TimeStamp.
Por ejemplo, si se realizara la firma con un certificado que caducara al día siguiente, la validación realizada con posterioridad reportaría un error en la verificación, lo que implicaría desechar la factura. En general, en cuanto un certificado se revoque, cualquier validación de las firmas hechas por ese certificado una vez revocado va a reportar un error, independientemente de cuando se realizó la firma.
Nosotros seguimos recomendando las firmas XAdES-XL que permiten la libre elección de prestador de servicios de certificación sin penalizar la capacidad de validación del receptor, al incluir en la propia firma tanto las evidencias del momento de la firma como de la vigencia del certificado utilizado.
Aun así, cabe reconocer el esfuerzo de las empresas proveedoras de servicios de factura electrónica en México.
El próximo 20 de octubre de 2009 tendrá lugar en Sevilla el Seminario «eAdministración –
Adaptación a la Ley 11/2007 y a la Ley 30/2007» que impartiremos, mano a mano, Bartolomé Borrego, Vocal Responsable de la División de Nuevas Tecnologías en la Delegación Especial de la AEAT en Andalucía y yo.
Lo organiza Atenea Interactiva y cuesta 300 euros + IVA.
Creo que puede ser de interés para organismos públicos o de participación pública que se enfrentan al reto de aplicar la Ley 11/2007 y a la Ley 30/2007, en lo relativo a la Administración Electrónica y a la Contratación Pública Electrónica.
Incluyo a continuación el programa previsto.
9:00-9:30 Recepción de los asistentes y entrega de la documentación
9:30-10:15 Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y contratación pública.
D. Julián Inza
10:15 -10:45 Identidad Digital y DNIe.
D. Julián Inza
10:45-11:15 Coffee-Break
11:15-11:45 Firma Electrónica
D. Julián Inza
11:45-12:15 Implementación del Perfil del Contratante
D. Julián Inza
12:15-13:15 Facturación electrónica en el sector público
D. Julián Inza
13:15-13:45 Claves de la reforma de la Ley 11/2007 de acceso de los ciudadanos a los servicios electrónicos
D. Bartolomé Borrego Zabala
13:45-14:15 Registros Electrónicos o telemáticos
D. Bartolomé Borrego Zabala
14:15-15:30 Comida: Cocktail Buffet
15:30-16:15 Notificaciones fehacientes por medios electrónicos
D. Bartolomé Borrego Zabala
16:15-16:45 Uso de la firma electrónica en la Administración Pública
D. Bartolomé Borrego Zabala
16:45-17:15 Plataformas de Pagos
D. Bartolomé Borrego Zabala
17:15-17:45 Copias electrónicas, Compulsa electrónica y Digitalización Certificada.
D. Bartolomé Borrego Zabala
17:45-18:30 Representación en los procedimientos electrónicos.
D. Bartolomé Borrego Zabala
18:30-19:00 Coloquio y conclusiones
Una de las herrramientas gratuitas de firma electrónica disponibles desde hace más tiempo es nuestro programa Profirma, que se instala como sistema de firma contextual en el botón derecho del ratón, y genera firmas PKCS#7 . Esa herramienta gratuita ha sido bastante utilizada aunque no se ha actualizado conforme han evolucionado las versiones de Windows.
En la actualidad nuestra suite de firma electrónica BackTrust cuenta con un componente más potente que permite generar firmas en PDF y en XAdES. Se trata de BackTrust Portafirmas y puede utilizarse gratuitamente con fines educativos y no comerciales. Para evitar los mensajes publicitarios hay que adquirir una licencia.
Por otro lado van apareciendo otras herramientas gratuitas como Sinadura, que se utiliza para firmar PDFs. Venan ha hecho un resumen interesante de una jornada de presentación de Sinadura.
Y por supuesto, FactOffice cuenta con la posibilidad de generar firmas electrónicas XAdES-XL de forma gratuita, aunque solo en el entorno de facturación electrónica con formato facturae.
La placa IBM 4764 PCI-X es un coprocesador criptográfico que supone el exponente del estado de la técnica de seguridad criptográfica para su uso en determinados sistemas de servidores de IBM para realizar criptografía DES y de clave pública en un entorno seguro.
El módulo coprocesador seguro es una placa estándar «de tipo corto» PCI-X y es compatible con versiones de interfaz PCI-X 1.0 y PCI versión 2.2.
El módulo coprocesador criptográfico está sellado e incluye sensores de penetración física, de energía, y de temperatura para detectar los ataques físicos contra los subsistemas encapsulados. Una batería proporciona energía de reserva que se activa desde el momento de la inicialización en la fábrica hasta el final de la vida útil del producto. Cualquier manipulación que se detecte implica la puesta a cero de la zona de claves y la inhabilitación permanente del subsistema.
El coprocesador IBM 4764 Modelo 001 se puede utilizar con el IBM System x ™, IBM System p ™, IBM System i ™ y sistemas IBM System z ™. los sistemas pueden incluir un máximo de 32 coprocesadores y cada aplicación puede conytolar ahasta 8 coprocesadores.
El coprocesador IBM 4764 Modelo 001 cumple la norma FIPS 140-2 nivel 4 de seguridad física. Incorpora un encapsulado seguro en torno a la electrónica para la detección de los más sofisticados intentos de penetración física lo que implica la puesta a cero de la zona de memoria que contiene todos los datos secretos críticos cuando se detecta un intento de manipulación.
Qué es un coprocesador criptográfico.
Un coprocesador criptográfico es un procesador de uso general que se encarga de las funciones de seguridad relacionadas con el cifrado de clave simétrica o de clave asimétrica, que protege las claves secretas de accesos no autorizados, y que soporta las agresiones físicas y los ataques lógicos.
La criptografía es una herramienta esencial para procesamiento seguro. En particular en el ámbito de la firma electrónica y el cifrado. En estos contextos la criptografía es una herramienta esencial.
IBM PCI-X ha sido certificado por el NIST para IBM System x, IBM System p, IBM System i, y IBM System z (zSeries). El FIPS 140-2 Nivel 4 declara que la certificación del coprocesador criptográfico IBM 4764-001 PCI-X está especialmente cualificado para detectar y responder a los intentos de ataques, y para llevar a cabo el procesamiento de forma segura, incluida la correcta aplicación de varios algoritmos criptográficos comercialmente importantes.
FIPS PUB 140-2 es el estándar de referencia para evaluar la seguridad y la correcta aplicación de algoritmos criptográficos de un producto comercial. Esta certificación independiente ofrece la garantía de la seguridad, integridad y exactitud de los algoritmos criptográficos inherentes al diseño del coprocesador. Bajo la supervisión de los gobiernos de EE.UU. y Canadá, laboratorios independientes realizan un análisis a fondo del diseño del producto y ponen a prueba productos finales. El informe de las pruebas se somete a los órganos gubernamentales, y cuando se valoran positivamente, se emite un certificado.
Los productos BackTrust de Albalia se han probado con éxito con los HSM IBM 4764 generando firmas XAdES-XL a través de interfaz DSS (Digital Signature Service) y a través de la API de firma electrónica.
FactOffice para Word 2007 v. 1.1 es la solución eFactura gratuita de Microsoft
La nueva solución permite generar y recibir facturas electrónicas de una forma sencilla utilizando una herramienta tan familiar para los usuarios como Microsoft Word.
Microsoft presentó ayer la versión 1.1 de una solución completa, gratuita y de código abierto para generar y recibir facturas electrónicas utilizando Microsoft Office 2007.
Se trata de una iniciativa pionera a nivel local por la que Microsoft persigue facilitar al máximo el uso de la factura electrónica entre las empresas, profesionales autónomos y la propia Administración Pública y, en última instancia, contribuir al desarrollo tecnológico de las pequeñas y medianas empresas españolas.
Albalia Interactiva ha sido el desarrollador de este proyecto junto a Microsoft. Tras lanzar una primera versión en el mes de mayo, Microsoft ha escuchado el feedback de clientes y socios y, con el objetivo de responder fielmente a sus necesidades, ha actualizado la solución, llamada FactOffice for Word 2007 v. 1.1, con nuevas funcionalidades que facilitarán aún más la creación e intercambio de Facturas Electrónicas.
La solución, ya disponible para su descarga gratuita, así como referenciada en el portal de Facturae del Ministerio de Industria (www.facturae.es) y en el portal de la Agencia Tributaria (www.aeat.es), está especialmente diseñada para las organizaciones, profesionales, y Administraciones públicas que quieran empezar a operar con la e-Factura. Su modo de empleo es muy sencillo –apoyado por un completo Manual de Usuario- y resultará altamente familiar para cualquier usuario sin conocimientos técnicos específicos, ya que está basada en el popular procesador de textos Microsoft Word incluido en la plataforma de productividad Microsoft Office 2007.
Se trata de un componente (Add-in), que instalado sobre MS Office 2007 (Microsoft Word), habilita a este programa para la generación, recepción e intercambio de facturas electrónicas en el formato XML ‘Facturae’. La aplicación, utilizando unas plantillas predefinidas y configurables, es capaz de generar la factura, firmarla (XADES) con cualquiera de los proveedores de firma reconocidos, validar su conformidad de esquema Facturae, de Firma electrónica, y de cuadre contable, así como mantener una pequeña gestión histórica del estado de cada factura. La disponibilidad del código fuente permite a los desarrolladores a ampliar, modificar o personalizar sus características, así como a adaptar dicha solución a sus propias plataformas de factura electrónica (conexión a Servicio Web, etc.).
Las novedades introducidas en la versión 1.1 incluyen numerosas funcionalidades tales como la posibilidad de realizar la validación del CIF/NIF y que soporte el formato de CIF europeo, mejoras en los apartados “tipo de residente” y “descuento”, así como en el de “IRPF” y otros impuestos, capacidad para personalizar la firma para FactOffice, etc.
Bartolomé Borrego lo reseña en su blog. Gracias, Bartolomé.
El dia 1 de agosto de 2009 se inicia la obligación de las empresas que facturan al sector público estatal de hacerlo electrónicamente.
Para facilitarlo, una de las opciones es usar el software gratuito desarrollado por Albalia y que ha liberado Microsoft: FactOffice. Este software permite firmar electrónicamente las facturas con el DNI electrónico u otros certificados como el de Camerfirma, ANCERT, firmaprofesional, Izenpe, Catcert, ACA, ACCV, …
Atenea Interactiva organiza a partir de septiembre de 2009 cursos de una mañana para aprender el uso de la herramienta y las nociones más importantes de firma electrónica. Se recomienda que los alumnos vengan al curso con sus propios ordenadores personales portátiles y con sus lectores de tarjeta inteligente (chipetera) para sacar el máximo rendimiento al curso que será eminentemente práctico.
Igualmente deberán disponer de su DNI electrónico u otro certificado y del Office 2007 (o al menos Word 2007) instalado en su sistema.
Los cursos tienen un coste de 250 euros y pueden reservarse llamando al 902 365 612.
En el curso se explica la forma de descargarse y de instalar FactOffice, así como la forma de usarlo para generar facturas electrónicas y en papel o para recibir y visualizar facturas electrónicas. Además se explica la forma de insertar facturas en formato facturae dentro de ficheros de word «.docx«, o de extraerlas del citado tipo de ficheros aprovechando la potencia del formato OOXML.
Se explican los conceptos de firma electrónica, validación y sellado de tiempo (timestamping) para poder decidir el formato más adecuado de entre los que se pueden generar con la herramienta (XAdES EPES o XAdES XL).
Los asistentes al curso dispondrán de acceso gratuito durante 2009 al servicio de timestamping de EADTrust.
La Agencia Europea de Confianza Digital (European Agency of Digital Trust) es un intermediario que genera y custodia documentos electrónicos con máxima garantía y fiabilidad para los clientes
Del papel a Internet. Mandar correos electrónicos fehacientes en lugar de notificaciones postales o documentos a través del correo tradicional, o hacer operaciones bancarias por Internet en vez de acudir a la oficina está ya a la orden del día.
European Agency of Digital Trust es un tercero de confianza electrónico que ha nacido para garantizar estas nuevas relaciones comerciales que se materializan en documentos electrónicos. La empresa es pionera en notificaciones electrónicas garantizadas y perfeccionamiento de contratos telemáticamente.
«Las pruebas documentales en soporte papel son perdurables e inalterables, lo que hasta ahora no sucedía con las pruebas electrónicas», afirma el Presidente de EAD Trust , Julián Inza. El ejecutivo señala que «la volatilidad y la unilateralidad probatoria » eran las características de los documentos electrónicos. Esto hacía que fueran pruebas poco fiables jurídicamente, por ser «fácilmente manipulables». «Había que mejorar la gestión de las evidencias electrónicas para garantizar su utilidad en juicio», explica Inza .
Es en esa tarea cuando se define European Agency of Digital Trust como una «Tercera Parte de Confianza Digital», un intermediario que recaba, genera y custodia pruebas electrónicas y elimina los problemas en las relaciones electrónicas entre las partes implicadas, facilitando la «simetría probatoria» en pie de igualdad para todos los intervinientes de una operación jurídica sustentada electrónicamente.
European Agency of Digital Trust, impulsada por veteranos especialistas del mundo de las Autoridades de Certificación y la firma electrónica, atesora la experiencia de entidades precursoras como Banesto, la Fundación Notarial FESTE, o las Cámaras de Comercio con Camerfirma.
El pasado mes de enero European Agency of Digital Trust quedó constituida como entidad prestadora de servicios de confianza digital para evitar que las partes implicadas en los documentos los manipulen e interfieran en los procesos judiciales. Con vocación de servir por igual a los especialistas tecnológicos y a los profesionales del derecho y estableciendo pautas y protocolos destinados a preservar evidencias electrónicas.
Entre los clientes que han confiado en European Agency of Digital Trust: aseguradoras, entidades financieras, empresas del sector energético, organismos públicos, fundaciones, SICAVs.
Según sus responsables, European Agency of Digital Trust ha logrado combinar la eficiencia de procesos y su despapelización con un modelo de precios muy asequible.
Su sistema ha ampliado las modalidades de firma de los documentos electrónicos: no sólo permite usar el DNI electrónico o la firma electrónica basada en otros certificados ; con un simple móvil pueden realizarse todas las operaciones. La empresa también ha incorporado otros sistemas, como la biometría de voz o la biometría conductual de la firma manuscrita (firma grafométrica) . Con estas tecnologías, European Agency of Digital Trust permite a las empresas ahorrar costes. Mientras un burofax cuesta entre 12 y 30 euros, una notificación electrónica con European Agency of Digital Trust cuesta un euro. La firma de un contrato en papel tiene un coste de entre 18 y 40 euros, lo que contrasta con los dos euros de una operación electrónica de perfecciionamiento de contratao (aunando la oferta con su aceptación).
Guardar un documento en formato electrónico durante un largo periodo puede complicar su lectura: los programas para abrirlo caducan y es más difícil su visualización. Para evitar este problema, «durante el tiempo que el documento está con nosotros garantizamos su visualización», asegura el presidente.
Sabeis que anuncié hace unos dias la disponibilidad de FactOffice, una extensión de Word 2007 que permite gestionar de forma sencilla facturas electrónicas en formato facturae y firmarlas electrónicamente con un certificado instalado en nuestro ordenador. Este software, liberado con la licencia Ms-PL de software libre, aporta el código fuente necesario para las funciones más importantes relacionadas con la factura electrónica.
Además, en este software accedemos a las librerías BackTrust de Albalia gracias a las cuales podemos generar firmas electrónicas XAdES-X-L. Esta es la única implementación de XAdES-X-L para entorno .net a este nivel de precio.
Estamos muy agradecidos a todos los amigos que se han dirigido a nosotros y nos han reconocido que esta es la aportación más importante producida en España en los últimos años con el objetivo de aumentar la adopción de la factura electrónica por las PYMES (seguida quizá de la publicación de nuestro Libro sobre Factura Electrónica). También, nos han dicho, facilitará el que los desarrolladores y programadores puedan conocer las interioridades y retos de programación de las aplicaciones informáticas que gestionan facturas electrónicas en formato XML facturae.
También estamos muy agradecidos a Microsoft por creer en Albalia como el mejor especialista en firma y factura electrónica para acometer este proyecto, y por el soporte que nos han dado en todo momento.
Estos dias experimentamos el reconocimiento de todo este esfuerzo gracias a unos cuantos medios de comunicación on-line y blogs que se han hecho eco del anuncio. Agradecemos su deferencia a:
La especificación DSS (Digital Signature Services) alcanzó el nivel de Standard de OASIS en junio de 2007, en su versión 1.0.
Esta especificación simplifica la gestión de las firmas electrónicas en las organizaciones, permitiendo la definición de modelos de gestión centrados en servidores que se alinean con las arquitecturas de sistemas más avanzadas. Las claves privadas se pueden gestionar de forma segura en entornos centralizados y puede evitarse la dispersión de material criptográfico en los ordenadores individuales de los usuarios, robusteciendo la política de seguridad mientras se saca partido a las múltiples funcionalidades de la firma electrónica.
DSS describe dos protocolos de tipo petición/respuesta basados en XML, uno para generar firmas electrónicas y otro para verificarlas. Al usar estos protocolos, un cliente puede enviar documentos al servidor y obtener el documento firmado electrónicamente, o enviar un documento firmado al servidor y obtener los datos de la comprobación de la firma electrónica.
DSS da cobertura a diferentes tipos de firmas electrónicas, como las basadas en XML y CMS. Se desarrolla sobre un núcleo de elementos y procedimientos que pueden perfilarse para proporcionar determinadas funciones como time-stamping (incluyendo los basados en XML), validaciones de vigencia de certificados de múltiples prestadores de servicios de certificación, sellos corporativos, sellos de sede electrónica, marcas de notificación o publicación fehaciente, o firma de código ejecutable.
El estándar DSS de OASIS se desarrolló gracias al esfuerzo de reprerentantes de la American Bar Association, Cancillería Federal de Austria, BEA Systems, CATCert-Agencia Catalana de Certificacio, IBM, Nokia, Universal Postal Union, y otros.
Albalia Interactiva ha desarrollado una de las pocas implementaciones que existen en el mundo de este protocolo, que está destinado a convertirse en el estándar internacional más adoptado, como lo demuestra, por ejemplo, su inclusión en Peppol (Pan European Public Procurement Online).
Los servicios DSS forman parte de la suite de productos BackTrust con implementaciones nativas en todas las plataformas (por ejemplo, aquí incluyo nuestro folleto Albalia BackTrust DSS for Windows Servers). También forman parte de los servicios de EADTrust .EADTrust, European Agency of Digital Trust, es una empresa de reciente creación, surgida como spin-off de Albalia, y que comercializa diversos servicios de eConfianza. Algunos de estos servicios ya se anunciaron por parte de Albalia hace algún tiempo.
Entre los servicios disponibles están los de generar y comprobar firmas electrónicas basadas en XAdES y en PDF. Las opciones más avanzadas (denominadas firmas completas o AdES-XL) facilitan la custodia digital, y deberían ser generadas en origen para facilitar su comprobación al tercero que confía en los certificados.
Estos servicios representan la posibilidad de que el sector privado pueda disfrutar de servicios equivalentes a los que proporciona la herramienta @firma del MAP y de la Junta de Andalucía, o PSIS (Plataforma de Servicios de Identificación y firma) de CatCert en el sector público, pero actualizados a las versiones más recientes de los estándares técnicos. También en muchos organismos del ámbito público pueden preferir el uso de EADTrust al de @firma, dependiendo de cuales sean sus necesidades en relación con la firma electrónica.
Todo es electrónico 