Archivo de la categoría: Firma digital

Preguntas frecuentes sobre factura electrónica y digitalización certificada

4 respuestas

Con la publicación de la norma EHA 962/2007, han quedado claras muchas cosas en relación con la factura electrónica y la digitalización certificada.

Todavía quedarán más claras (sobre todo en relación con la Digitalización Certificada) cuando se publique la Resolución del Director de la Agencia Tributaria que ahora mismo está en forma de «borrador«.

Además creo que nuestro libro sobre la factura electrónica ha contribuido a difundir el conocimiento técnico y jurídico sobre ella.

Y también el portal facturae que desarrollan el Ministerio de Industria, Turismo y Comercio con la Agencia Tributaria.

Además, la Agencia Tributaria ha preparado una relación de preguntas frecuentes sobre eFactura del que seguidamente se incluye un extracto.

¿Qué es la factura electrónica?

Se pueden dar varias definiciones, todas ellas equivalentes.

Documento tributario generado por medios informáticos en formato electrónico, que reemplaza al documento físico en papel, pero que conserva el mismo valor legal con unas condiciones de seguridad no observadas en la factura en papel.

Equivalente funcional de la factura en papel, que se puede transmitir desde el expedidor al destinatario por medios telemáticos.

En términos informáticos, consiste en un fichero con el contenido exigido por ley a cualquier factura, que se puede transmitir de emisor a receptor por medios telemáticos (de un ordenador a otro) y que posee unas características que aseguren la autenticidad e integridad.

¿Qué es facturación electrónica?

Consiste en facturar usando facturas electrónicas.

¿Son equivalentes las denominaciones factura electrónica, factura telemática y factura digital?

Sí son equivalentes. Incluso pueden existir otros términos análogos. Así en el lenguaje legal se suele emplear con frecuencia la expresión “remisión por medios electrónicos de facturas”.

¿Cuáles son las ventajas de la facturación electrónica?

Entre las muchas ventajas de la facturación electrónica se encuentran:

  • Ahorro de costes
  • Mejora de la eficiencia
  • Integración con la aplicaciones de gestión internas, de la empresa.
  • Optimización de la tesorería
  • Obtención de información en tiempo real
  • Reducción de tiempos de gestión
  • Agilidad en la toma de decisiones
  • Administración y contabilidad automatizadas.
  • Disminución de costes de los documentos en papel.
  • Control de acciones erróneas
  • Uso eficaz de los recursos financieros
  • Flujos de transacciones agilizados
  • En el futuro será obligatorio para la facturación a muchas Administraciones Públicas.

¿Tiene validez legal la factura electrónica?

La factura electrónica tiene la misma validez legal que la factura en papel, a efectos tributarios.

¿Cuáles son las normas legales que rigen la facturación electrónica?

La Orden EHA/962/2007 por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas.

Otras disposiciones que afectan a la facturación en general, y tratan la facturación electrónica en algunos de sus artículos son:

  • Real Decreto 1496/2003. Reglamento que regula las obligaciones de facturación.
  • Directiva 2001/115/CE, por la que se modifica la Directiva 77/388/CEE con objeto de simplificar las condiciones impuestas a la facturación.

¿Necesito la autorización de mi cliente para poder facturarle electrónicamente?

Es necesario el consentimiento expreso del destinatario por cualquier medio, verbal o escrito.

En cualquier momento el destinatario que esté recibiendo facturas o documentos sustitutivos electrónicos podrá comunicar al proveedor su deseo de recibirlos en papel. En tal caso, el proveedor deberá respetar el derecho de su cliente.

El destinatario debe estar de acuerdo en los formatos en los que se va a facturar electrónicamente.

¿Quién es el responsable último de la validez de la firma y de su correspondiente certificado?

El destinatario de la factura tiene la obligación de verificar la validez de la firma y por tanto el certificado firmante. Para ello dispondrá de los medios informáticos necesarios.

¿Hay que aplicar la facturación telemática a todos los clientes o podría ser sólo a unos determinados?

Se puede utilizar la facturación telemática con sólo parte de los clientes. También se pueden emitir facturas en papel y telemáticamente en un mismo ejercicio para el mismo cliente.

¿Qué tiene que hacer el destinatario de la factura electrónica una vez recibida?

El destinatario tiene que conservar de forma ordenada las facturas y permitir el acceso completo y sin demora. Esto significa:

  • Disponer del software que permita verificar la validez de esa firma.
  • Almacenar los ficheros de las facturas, así como las firmas asociadas a cada una de ellas, caso de no venir en el mismo fichero.
  • Permitir el acceso completo y sin demora, es decir, tener algún mecanismo que permita poder consultar las facturas en línea de modo que se visualicen, se puedan buscar cualquiera de los datos de los libros de Registro de IVA, se puedan realizar copias o descargas en línea de las facturas y se puedan imprimirlas en papel cuando sea necesario.

¿Qué se puede ceder a un tercero en la facturación?

En la facturación siempre hay un profesional o empresario que tiene la obligación de remitir facturas y conservar al menos su matriz y un cliente que tiene la obligación de recibirlas y conservar las facturas tal cual. Son los llamados obligados tributarios.

Las anteriores obligaciones se pueden ceder, algunas o todas, a un tercero, que actúe en nombre del obligado tributario. Es decir:

  • El profesional o empresario puede ceder la expedición de las facturas a un tercero.
  • El profesional o empresario puede ceder la conservación de las facturas, o al menos sus matrices, a un tercero.
  • El cliente destinatario, puede ceder la recepción y conservación de las facturas, a un tercero.

En resumen todo, o parte del proceso de facturación se puede ceder a un tercero. En cualquier caso los responsables últimos ante las Autoridades son los obligados tributarios, es decir el profesional o empresario que debe expedirla y su cliente destinatario.

¿Puede el destinatario de la factura electrónica modificar el fichero?

No, el fichero de facturación telemática recibido debe conservarse en su integridad sin modificaciones.

¿En qué formato deben conservarse las facturas?

El destinatario debe conservar las facturas en el mismo formato y soporte original en el que éstas fueron remitidas. Salvo que opte por alguna de las formas de conversión autorizadas en los artículos 7 y 8 de la Orden EHA /962/2007.

Así, si se han recibido facturas en papel, el destinatario podrá optar por convertirlas y conservarlas en formato electrónico siempre que lo haga de acuerdo con el Artículo 7 de la citada Orden. Conversión de papel a digital.

Por otro lado, si se han recibido facturas en formato electrónico, el destinatario podrá optar por convertirlas y conservarlas en formato papel siempre que lo haga de acuerdo con el Artículo 8 de la citada Orden. Conversión de digital a papel.

¿ Qué condiciones tiene que cumplir la factura electrónica, caso de expedirla una empresa extranjera que ofrece su servicio o producto a un cliente español?

Está recogido en el Artículo 4 de la Orden EHA/962/2007 por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas.

Debe cumplir las mismas condiciones que tienen las facturas expedidas y remitidas en España.

Caso de uso de firma electrónica, es el cliente residente en España el que debe cerciorarse de que se trata de una firma electrónica reconocida. Esto se cumple en los siguientes casos:

  • Caso de Unión Europea cuando se cumpla alguno de los siguientes requisitos:
    1. El certificado indica en su propio contenido que es un certificado reconocido y la Autoridad de Certificación tiene públicamente accesibles sus políticas de certificación en las que indica que cumple con lo establecido en la Directiva europea de firma electrónica 1999/93/CE.
    2. El certificado se halle acreditado por una entidad establecida en la UE conforme a un Esquema Voluntario de Acreditación de acuerdo con lo recogido en la Directiva 1999/93/CE.
    3. El certificado se halle inscrito en algún registro público de autoridad competente en materia de firma o fiscal.
  • Caso países fuera Unión Europea cuando se cumpla alguno de los siguientes requisitos:
    1. El certificado se halle acreditado por una entidad establecida en la UE conforme a un Esquema Voluntario de Acreditación de acuerdo con la Directiva 1999/93/CE.
    2. Que una entidad AC establecida en la UE avale el certificado.
    3. Que el certificado esté reconocido en virtud de acuerdos de la UE con terceros países.

¿Puede una empresa extranjera solicitar la homologación de un software de digitalización?

El Artículo 7 de la Orden EHA/962/2007, recoge los aspectos referentes a la digitalización certificada de facturas en papel.

Dice, el citado artículo, que la solicitud de homologación del software de digitalización certificada, la pueden efectuar empresas residentes en España o en la Unión Europea.

¿Se puede realizar la conservación de facturas electrónicas en el extranjero?

La conservación de facturas en el extranjero, se encuentra recogido en el Artículo 9 de la Orden EHA/962/2007.

Tanto el emisor como el destinatario de la factura, pueden decidir si la conservación se hace en España o en el extranjero. Pero sólo es válido la conservación en el extranjero en el caso de factura en formato electrónico, ya que es el que puede garantizar el acceso completo y sin demora injustificada.

Se da la siguiente casuística:

  • Si lo hace en un país de la UE o país con el que exista un instrumento jurídico:
    • Puede hacerlo directamente el obligado tributario (destinatario o expedidor)
    • Puede hacerlo a través de un tercero en nombre del destinatario de la factura o expedidor de la factura.
  • Si lo hace en un país extranjero distinto a los anteriores:
    • Puede hacerlo directamente el obligado tributario previa comunicación a la AEAT.
    • Puede hacerlo a través de un tercero, previo procedimiento de autorización, dirigida al Director del Departamento de Gestión Tributaria. En este caso, la autorización deberá instarla, empresarios o profesionales españoles interesados en la conservación de sus facturas en el extranjero. No a instancias de residentes en el extranjero que pretendan homologar sus sistemas para prestar servicios a residentes en España.

¿Se pueden expedir facturas electrónicas desde fuera de España, en nombre de empresas residentes en España?

La expedición de facturas fuera del territorio español, se encuentra recogido en el Artículo 9 de la Orden EHA/962/2007.

Para ello es necesario siempre, una autorización dirigida al Director del Departamento de Gestión Tributaria.

Pueden pedir la autorización a instancias de empresarios o profesionales españoles. No a instancias de residentes en el extranjero, que pretendan homologar sus sistemas para prestar servicios a residentes en España.

¿En facturación electrónica hay que usar siempre firma electrónica reconocida?

La Orden EHA/962/2007 dice que la obligación de remisión y conservación de facturas o documentos sustitutitos, podrá ser cumplida por medios electrónicos que garanticen la autenticidad del origen y la integridad de su contenido.

Para asegurar tal autenticidad y la integridad se puede:

  • Usar firma electrónica reconocida
  • Usar sistemas de intercambio electrónico de datos EDI. En este caso las partes deben reflejar con precisión los medios empleados para garantizar la autenticidad e integridad.
  • Otros sistemas distintos a los anteriores. En este caso será necesaria una autorización del Director del Departamento de Inspección Financiera y Tributaria.

El escenario más frecuente es usar firma electrónica reconocida. Sólo ciertos sectores, en los que lleva tiempo implantando, usan EDI, como por ejemplo el sector de la automoción.
En las preguntas y respuestas aquí expuestas, se sobreentiende que se habla de facturas emitidas con firma electrónica, salvo que se diga expresamente otra cosa.

¿Cómo se garantiza la autenticidad del emisor y la integridad del contenido?

Tal como se ha comentado anteriormente hay varios mecanismos. El más habitual es firmar la factura con una firma electrónica reconocida.

En el proceso de firma, se usa un certificado de usuario garantiza la autenticidad del emisor y una huella que garantiza la integridad. Es decir, en caso de modificación de la factura incluida en el fichero de la facturación telemática, la firma es inválida, de lo que nos avisaría nuestro software.

¿Por qué es necesaria la firma electrónica reconocida en la factura electrónica?

La firma electrónica es necesaria para garantizar la integridad de la factura. Es decir, permite comprobar que no se ha alterado la información contenida en la factura.

Por otra parte esa firma electrónica es reconocida, para conseguir el mayor grado de seguridad de acuerdo con la Ley de Firma Electrónica 59/2003. Sólo la firma reconocida tiene validez legal igual a la manuscrita.

¿Qué ficheros se envían al destinatario de la factura?

Lo más frecuente, es enviarle al cliente un fichero firmado. Es decir, un único fichero que contiene la información legal requerida a la factura y también contiene la firma.

Podría darse el caso, poco usual, de que se trate de dos ficheros. Por un lado el contenido de la factura y por otro un fichero con la firma. En este caso hay que garantizar la correspondencia entre el fichero de la factura y el de su correspondiente firma.

¿ De quién es el certificado que hay que usar para firmar la factura que se emite?

El certificado que se usa es el del expedidor real de la factura. Ya sea éste el obligado tributario, un tercero que actúe en su nombre o el destinatario de la factura, si se ha acordado auto-facturación.

¿Puede el formato de expedición de la factura ser diferente del de destino?

No es posible. Es esencial en la facturación telemática, que el destinatario pueda verificar la firma.

¿Qué formatos son válidos para la factura electrónica?

Cuando se habla de formato se puede hacer referencia a varios aspectos diferentes:

Por un lado está la estructura del fichero que soporta el contenido legal de la factura.

No existen un formato único para la factura electrónica. Puede usarse XML, PDF, HTML, DOC, XLS, JPEG, GIF o TXT entre otros.

La Agencia Tributaria, por ejemplo, usa XML con una estructura determinada conocida como formato «Facturae» (anteriormente conocida como formato AEAT-CCI).

También se usa la palabra formato para referirnos a la estructura de la firma.

Igual que en el caso anterior no existe un formato único. Puede usarse PKCS7, XadES, PDF, …
La Agencia Tributaria usa firma con formato XML dado por el estándar XadES.

Finalmente tanto el contenido de la factura , llamémoslo factura, como la firma vienen en un único fichero normalmente con extensión «.fir»

Es aconsejable la utilización de estándares.

¿Por qué medios se puede enviar la factura telemática al receptor?

Una vez obtenido el fichero de la factura con su firma se puede enviar al destinatario de diferentes modos. Al igual que ocurre con los formatos, no existe un modo único. Se puede enviar por correo electrónico, por FTP, poniéndolo en una página Web desde la que se la pueda descargar, mediante un Servicio Web (Web Service), ….

Lo que hay que enviar al cliente es la factura firmada digitalmente, es decir, todo, contenido legal de la factura y la firma de ésta.

¿Es necesario usar los formatos con los que trabaja la Agencia Tributaria?

Se puede usar cualquier formato.

Ahora bien, aquellos que sean o puedan ser proveedores de la Agencia Tributaria y otras Administraciones de la Administración General del Estado, deberán expedir sus facturas a las citadas Administraciones en formato Facturae, también conocido como AEAT-CCI. Recuérdese, que el destinatario debe ser conforme con los formatos a emplear, ya que es el responsable último de las facturas que recibe.

¿Tengo que proporcionar a los receptores de mis facturas telemáticas mi certificado?

No, si el certificado va incluido en la firma de la factura. Esa es la situación más frecuente.

Las copias que se hagan en formato electrónico, ¿llevan incorporada la misma firma electrónica que la factura original?

Sí, la copia íntegra de la factura telemática mantiene la información de firma. Aunque se copie a BB.DD., CD-ROM, disco, ….

¿Sería posible enviar telemáticamente a los clientes un documento firmado PDF legible para una persona, junto con nubes de puntos en formato PDF417?

Si ese fichero Adobe-PDF lleva incrustada una firma electrónica reconocida que asegura la integridad y autenticidad de todo el conjunto, se podría.

Si el documento Adobe-PDF no lleva una firma que asegure la integridad y autenticidad de todo el conjunto, también se podría pero complicaría al destinatario la obligación de verificar la valides de la firma. Puesto que el contenido «fiable» de la factura sería el que viene codificado, y firmado, dentro del PDF 417 y nadie asegura, a priori, que ese contenido sea el mismo que puede «leerse» en la parte legible del PDF. En este caso el receptor está obligado a leer las nubes PDF417, para validar la firma, lo que exige que debe disponer del hardware adecuado.

La nube de puntos PDF-417 no es frecuente usarla para expedir facturas.

¿En qué contexto se usa la nube de puntos PDF-417?

El uso de nube de puntos PDF-417, se trata en el Artículo 8 de la Orden EHA/962/2007.

Se usa en el siguiente contexto, cuando el destinatario ha recibido una factura en formato electrónico y, aunque lo aconsejable es la conservación en el mismo formato electrónico de remisión, la Orden permite que la pueda conservar en formato papel, mediante la correspondiente opción de software que permita la impresión a papel, junto a los contenidos del documento, de dos conjuntos de códigos PDF-417, considerados como sendas marcas gráficas de autenticación, en el primero de los cuales se incluirá el contenido íntegro de los datos de la factura y en el segundo la firma electrónica del fichero anterior. En el supuesto de estar la firma embebida en el fichero que contiene la factura o que los datos de la factura estén contenidos en el formato de firma, bastará con un solo conjunto de marca gráfica que lo incluiría todo.

¿Distribuye la AEAT código para generar PDF417 para la facturación?

No, la AEAT no dispone de software distribuible para generar PDF417 ni dispone de ejemplos de facturas impresas con PDF417.

La copia en papel es opcional, y por tanto, la inclusión del PDF417 también es opcional. Como es evidente, se podrá imprimir la factura aunque no tenga PDF417, siempre que se conserve el fichero de factura telemática.

La AEAT no dispone tampoco de información especial sobre el PDF417, ya que es un estándar internacional con amplia información en Internet.

¿Qué características debe tener el PDF417 impreso para que tenga validez legal?

Están también recogidos en el Artículo 8 de la Orden EHA /962/2007 :

  • Debe cumplir la especificación UNIFORM SYMBOLOGY SPECIFICATION – PDF417 publicada por AIM, asociación para el Desarrollo de Estándares acreditada por American National Standards Institute, con un nivel de corrección de errores 5, con compactación en modo Byte (Byte compaction BC mode) para permitir la codificación de la información en formato BASE code 64.
  • Para no limitar el tamaño máximo de datos se empleará el procedimiento MACRO PDF417.
  • Las marcas se situarán en un área de impresión rectangular cuyo vértice superior izquierdo tendrá siempre la misma coordenada absoluta respecto del vértice superior izquierdo del papel, que tendrá formato DIN A4, impreso en posición vertical.

Los lectores que usa la Agencia Tributaria (AEAT) suelen ser los de SYMBOL TECHNOLOGIES y LYNX de DATALOGIC.

¿ Qué ocurre si se firma con un certificado firmante caducado o revocado?

Las facturas remitidas electrónicamente, firmadas con certificados caducados, revocados o suspendidos en el momento de su expedición no se considerarán válidamente remitidas a sus destinatarios ni recibidas por éstos.

Por ello, el software del expedidor debe comprobar la validez del certificado antes de la firma de la factura. Asimismo, el software del destinatario debe asegurarse que la factura ha sido firmada con un certificado no caducado, ni revocado.

¿ Qué ocurre si se desea comprobar la validez de una firma, realizada con un certificado que caducó con posterioridad?

Se puede verificar la validez de la firma de la factura telemática, incluso en este caso. Hay que ver lo que la Autoridad de Certificación que emite el certificado, nos ofrece a este respecto.

Además, para facilitar tal verificación al software del destinatario, es conveniente que la factura haya sido firmada haciendo uso de algún formato de larga duración. Ejemplos de tales formatos son XAdES-X y CAdES-X.

¿Puedo convertir mis facturas en papel a formato electrónico?

El obligado tributario puede convertir sus facturas, documentos sustitutivos y cualesquiera otros documentos que conserven en papel que tengan carácter de originales, a formato digital.

Para ello deberá hacer uso de un software de digitalización que haya sido homologado por la Agencia Tributaria.

Lo anterior se recoge en el Artículo 7 de la Orden EHA/962/2007.

¿Qué es la digitalización certificada?

Es el proceso tecnológico que permite, mediante la aplicación de técnicas foto-electrónicas o de escáner, convertir la imagen contenida en un documento en papel a una imagen digital codificada conforme a alguno de los formatos estándares de uso común y con un nivel de resolución que sean admitidos por la Agencia Estatal de Administración Tributaria. Para ello es necesario usar un software de digitalización homologado por la Agencia Tributaria.

Está recogido en el Artículo 7 de la Orden EHA/962/2007.

¿ Qué pasos hay que seguir para homologar un software de digitalización certificada?

Está recogido en el Artículo 7 de la Orden EHA/962/2007.

Dirigir la documentación correspondiente, que acredita que se cumple con los requisitos recogidos en el apartado 2 del Artículo 7 de la citada Orden, al Director del Departamento de Informática de la Agencia Estatal de Administración Tributaria.

¿Dónde se puede presentar la documentación necesaria para homologar un software de digitalización certificada?

La documentación se puede presentar en cualquier Oficina de Registro de acuerdo con lo recogido en el artículo 38.4 de la Ley 30/92, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJPAC)

¿ Qué documentación hay que presentar en la solicitud de homologación de un software de digitalización certificada?

Está recogido en el Artículo 7 de la Orden EHA/962/2007, apartado 3.

La solicitud de homologación de un software de digitalización certificada, debe constar de:

  • Declaración responsable del cumplimiento de los requisitos exigidos en la Orden EHA/962/2007.
  • Documentación acreditativa que conste de:
    • Descripción de las normas técnicas en las que se basa el procedimiento de digitalización certificada, así como los protocolos o normas y procedimientos de seguridad, de control y de explotación referidos a la creación y consulta de la base de datos documental.
    • El Plan de Gestión de Calidad que se realiza en todo el proceso de digitalización y firma, y su influencia en la imagen obtenida y sus metadatos, así como la descripción del mantenimiento de los dispositivos.
    • Un informe emitido por una entidad de auditoría informática independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada, en el que se exprese la opinión acerca del cumplimiento por parte de la entidad solicitante, de las condiciones establecidas en la Orden citada anteriormente.

¿Cuál es el plazo de resolución y cómo ha de interpretarse el silencio administrativo?

El plazo de resolución es de seis meses, a contar desde la fecha de presentación de la solicitud en el Registro. Si la verificación no hubiera finalizado en ese plazo, o no se hubiera dictado resolución expresa, la solicitud podrá entenderse desestimada por silencio administrativo.

Validación de Certificados

1 respuesta

En Albalia Interactiva estamos muy preocupados sobre la forma de simplificar la realización y verificación de las firmas electrónicas. Por eso recomendamos emplear la variante ES-X-L de las normas TS 101 733 y TS 101 903, de forma que la firma se genere de forma completa en origen, liberando al receptor del problema de conocer sobre cualquier prestador de servicios de certificación, si un certificado está revocado o no.

Sin embargo, el receptor, especialmente en grandes empresas y entornos institucionales, no puede confiar en que las firmas le lleguen siempre de forma completa, y tendrá que disponer de una infraestructura que le permita completarla. Si los certificados estuvieran correctamente codificados en todos los casos, bastaría con acceder a la URL del servicio OCSP indicado en el campo AIA y consultar al propio PSC que emitió el certificado.

Pero una opción más sencilla es recurrir a servicios de consulta de revocación que aglutinen a múltiples PSC. En este sentido, Albalia ha firmado un acuerdo con Certiver para integrar los servicios de consulta multi-CA en sus soluciones de firma y validación electrónicas.

Merced a este acuerdo, las siguientes autoridades de certificación se pueden validar en un único punto, bajo el concepto de «ventanilla única»:

NOMBRE DE LA CA URL
A-Trust http://www.atrust.at/
AC ABOGACIA http://www.acabogacia.org/
AC Camerfirma Certificados Camerales http://www.camerfirma.com/
ACC-Admin Local http://www.catcert.net
ACC-Funció Pública http://www.catcert.net
ACC-GenCat http://www.catcert.net
ACCV http://www.accv.es/
ACTALIS http://www.actalis.it
Adacom S.A. http://www.adacom.com/
Agència Catalana de Certificació (ó ACC) http://www.catcert.net
Ancert-Not-Corporativos http://www.ancert.com
Ancert-Not-Personales http://www.ancert.com
Ancert-Not-Sistemas http://www.ancert.com
Ancert-Notariales http://www.ancert.com
Ancert-Priv-Personales http://www.ancert.com
Ancert-Privados http://www.ancert.com
Ancert-Pub-Corporaciones http://www.ancert.com
Ancert-Publicos http://www.ancert.com
ANF AC http://www.anf.es
ASCERTIA http://www.ascertia.com
Austrian Grid http://ca.austriangridca.at/
AuthentiDate International AG http://www.authentidate.de/
BANCA DI ROMA S.p.A http://www.bancaroma.it
Banca Monte dei Paschi di Siena S.p.A http://www.mps.it/
Banesto http://www.banesto.es/index.html
BanestoClientes(sub) http://www.banesto.es/index.html
Belgacom E-trust http://www.e-trust.belgacom.be/
BNP PARIBAS http://entreprise.bnpparibas.fr/certification
Cable & Wireless http://www.cwsecurity.net/
Camerfirma – CertiVeR http://www.camerfirma.com/
Camerfirma – con poderes http://www.camerfirma.com/
Camerfirma – sin poderes http://www.camerfirma.com/
Canada-GridCanada http://www.gridcanada.ca/ca/
CEDACRI S.p.A (Già Cedacrinord S.p.A) http://www.cedacri.it/
CERES-FNMT http://www.cert.fnmt.es/
CERN CA http://service-grid-ca.web.cern.ch/service-grid-ca/
CERTEUROPE http://www.certeurope.fr/
Certification Authority Ministry of Public Administration http://www.gov.si/ca/eng/
CERTIGREFFE http://www.CERTIGREFFE.FR/
CERTINOMIS http://www.certinomis.com/
CERTIPOST http://www.certipost.be
Certplus http://www.certplus.com/
CERTUM GENERAL CERTIFICATION AUTHORITY https://www.certum.pl
CesNet New http://www.cesnet.cz/
CesNet Old http://www.cesnet.cz/
Chambers of Commerce Root http://www.chambersign.org/
China-IEHP https://gridca.ihep.ac.cn/
CNIPA – Centro nazionale per l’informatica nella pubblica amministrazione http://www.cnipa.gov.it/site/it-IT/
Comando C4 Difesa – Stato Maggiore della Difesa http://www.pkiff.difesa.it
Comando Transmisioni e Informazioni Esercito (già Comado C4-IEW) http://www.eicert.esercito.difesa.it
CONSIGLIO NAZIONALE DEL NOTARIATO https://ca.notariato.it/
Consiglio Nazionale Forense http://ca.consiglionazionaleforense.it/
CONSORZIO CERTICOMM http://www.certicomm.it
CREDIT AGRICOLE http://www.ca-certificat.com
CYBERTRUST http://www.cybertrust.com
D-Trust https://www.d-trust.net/internet/content/d-trust-roots.html
D-Trust Chambersign Deutchsland http://www.d-trust.net/ihk
DFN Basic Classic http://www.dfn.de/content/
DFN Basic Grid http://www.dfn.de/content/
DFN Basic Root http://www.dfn.de/content/
DFN-PCA http://www.dfn-pca.de/
DigiNotar http://www.diginotar.nl/
DLRG CA http://www.dlrg.de/
DSV http://www.s-trust.de/
E-COMMERCE PKI http://www.ecommercepki.com/
e-commercePKI http://www.ecommercepki.com/
Equifax Secure e Business CA http://www.equifaxsecure.co.uk/
Euro Trust http://www.eurotrust.dk
EuroPKI Austrian CA https://europki.iaik.at/
Finsign http://www.fineid.fi/
Firma Profesional http://www.firmaprofesional.com/NW/home.html
Firma Profesional Subordinada http://www.firmaprofesional.com/NW/home.html
FirmaProfesional http://www.firmaprofesional.com/NW/home.html
France – CNRS http://www.cnrs.fr/
France – CNRS Grid http://www.cnrs.fr/
France – CNRS Proj http://www.cnrs.fr/
GlobaChamberlSign http://www.globalsign.com/
GLOBALSIGN http://www.globalsign.com
Greece-Hellas Certification Authority http://pki.physics.auth.gr/hellasgrid-ca/
Hiteles http://www.giro.hu/
I.T TELECOM S.r.l http://www.firmasicura.it/home.asp
Idem-Sign http://www.siltanet.fi/
InfoCamere http://www.infocamere.it/
INTESA http://e-trustcom.intesa.it
IpsCA http://www.ipsca.com
IpsCAB1(sub) http://www.ipsca.com
IpsCAB2(sub) http://www.ipsca.com
IpsCAB3(sub) http://www.ipsca.com
Ireland – Grid Ireland https://www.cs.tcd.ie/grid-ireland/gi-ca/
ISABEL http://www.isabel.be
Israel – IUCC http://certificate.iucc.ac.il/
Italy-INFN http://security.fi.infn.it/CA/
IZENPE, SA http://www.izenpe.com
KEYNECTIS http://www.keynectis.com/
KMD-CA http://www.kmd-ca.dk/
KPN Telecom http://certificaat.kpn.com/
Lidia CA (TU Darmstadt) http://www.informatik.tu-darmstadt.de/TI/Forschung/LiDIA-CA/Lidia-ca-homepage/
LOMBARDIA INTEGRATA S.p.A (LISIT) http://www.lisit.it/
Matav Trust Center http://www.eszigno.matav.hu
Medizon http://www.medizon.de
MULTICERT http://www.multicert.com
NetLock CA http://www.netlock.net/
OSIS http://www.osis.uk.net/
Pink Roccade https://pki.pinkroccade.com/
PKI Partner http://www.pkipartner.com
PKI partner http://www.pkipartner.com/
Poland – PolishGrid http://www.man.poznan.pl/pcss/public/main/index.html
Portugal – LIP http://www.lip.pt/
Portugal – LIP CA http://www.lip.pt/
POSTECOM http://www.postecom.it
Posten http://www.posten.se/m/home
RACER http://www.camerfirma.com/
Russia – RGrid http://ca.grid.kiae.ru/RDIG/
Sanpaolo IMI S.p.A http://ca.sanpaoloimi.com
ScandTrust http://www.scandtrust.se/
ScanTrust http://www.scandtrust.se/
SEE- Grid CA http://www.grid.auth.gr/pki/seegrid-ca/
SG TRUST SERVICES http://www.sgtrustservices.com/
SI-CA https://www.si-ca.org
Sigillum http://www.sigillum.fr/fr/press.html
SigillumActDept(sub) http://www.banesto.es/index.html
Slovakia Grid http://www.ui.savba.sk/
Slovenia – Signet https://signet-ca.ijs.si/
SOGEI S.p.A http://ca.sogei.it
Sonera http://www.sonera.fi
Space Hellas http://www.spacehellas.com/
Spain – DataGrid http://grid.ifca.unican.es/
SwissSign http://www.swisssign.com/
TC Trust CenterAG http://www.trustcenter.de/
TDC Internet http://www.certifikat.dk/
Telefonica/ACE http://www.ace.es/
Telia http://www.telia.se
TFH Berlin http://www.tfh-berlin.de/
TheGlobaltrustauthority http://www.globaltrustauthority.org/
TRUST ITALIA http://www.trustitalia.it/
Trust Services http://www.btglobalservices.com/en/products/trustservices/
Trustis http://www.trustis.com/
TU Freiberg CA http://tubaf-ca.hrz.tu-freiberg.de/
TUB CA http://ca.tu-berlin.de/TUB-CA/
UK – eScience http://ca.grid-support.ac.uk/
Uni Kiel CA http://www.informatik.uni-kiel.de/
USA – DoE Grids Sub http://www.doegrids.org/
USA – ESNet http://www.es.net/
USA – FNAL http://computing.fnal.gov/cd/
Verisign http://www.verisign.com
Wiskey http://www.wiskey.com
Zebsign http://www.zebsign.com/

Exposec llega a Ciudad Real

Deja un comentario

El próximo dia 14 de junio nos veremos en Ciudad Real, donde tiene lugar el evento Exposec que organiza ASIMELEC.

El lugar, la sede de CEOE-CEPYME CIUDAD REAL sito en la Carretera de Ciudad Real a Valdepeñas, Km 3 – 13170 Miguelturra  (a menos de 1 hora de Madrid, en tren).

Regalaremos el famoso libro de «La Factura Electrónica»

Adjunto el Programa que podéis ver ampliado  en el web del evento.

9:30-9:45 Bienvenida y Recepcion asistentes

9:45-10:00 Inauguracion de las Jornadas CAJA DE CASTILLA LA MANCHA

D. Ignacio Carrasco
Director de Expansión
ASIMELEC

10:00-10.30 Análisis de la seguridad como concepto global

  • Concepcion global de la Seguridad, Puntos de referencia y de interés
  • Valoración de la Seguridad, Roi de la inversión y situaciones criticas
  • Entidades y Empresas

D. Santi Casas
Asesor
ASIMELEC

10.30-11.00 Aplicaciónes de firma electrónica y e-factura

  • Requisitos técnicos a tener en cuenta en los proyectos de factura electrónica
  • Obligaciones por la empresa como emisora y como receptora de facturas
  • Formatos de firma y de factura

D. Julián Inza Aldaz
Presidente
ALBALIA INTERACTIVA

11.00-11.30 LSSI y LOPD

  • Reglamentación actual
  • Desarrollos Normativo en España
  • Normativa especial a tener en cuenta

D. Abel González
Director de Desarrollo de Negocio
 ESA Security

11.30-12.00 COFFEE-BREAK

12:00 -12.30 ISO 17799 E ISO 27001

  • ISMS
  • Valoración de riegos (Risk Assesment)
  • Controles

Dª Eva Muñoz APPLUS
Certification Technological Center
APPlus+

12:30-13:00 Recuperación y Continuidad de Negocio

  • Incidencias de Seguridad
  • Impacto
  • Medidas preventivas y Medidas correctivas

D. Alfonso García Catalán NEORIS
Director
NEORIS

13.00-13:30 e-firma: requerimientos y demos
D. Juan Jose Nombela
Director
G&D

13.30-14:00 Archivado de firmas a largo plazo: estándar XAdES

  • Firma Electrónica y Certificados Electrónicos
  • Formatos XADES

D. Enric Hernández
Responsable PKI
ANCERT Agencia Notarial de Certificación

14:00-14:30 Mesa Redonda:Aplicaciones específicas de seguridad

  • Barreras y Defensas.
  • Identificación
  • Antivirus, antispyware, etc

D. Ignacio Carrasco
Director de Expansión
ASIMELEC

D. Julián Inza Aldaz
Presidente
ALBALIA INTERACTIVA

D. Santi Casas
Asesor
ASIMELEC

14:30-Conclusiones y Clausura

ABANCE. Autoridad BANcaria de CErtificacion. PKI del sector financiero

Deja un comentario

Desde el año 2004 estoy presentando ABANCE en diferentes entornos.

Por ejemplo, en el CIT, el Congreso Internacional de Tarjetas que organiza IIR. A lo largo de esta última década, el evento ha sido testigo de la evolución y transformación del sector de las tarjetas y los medios de pago. Desde hace varios años. ABANCE se ha presentado o comentado en estos eventos:

Además, lo he mencionado en algunos eventos:

Y en algunos artículos:

  • Red Seguridad (noviembre 2006)
  • PC PYMES (ver)
  • VNU NET (ver)
  • Tribuna PC PYMES (ver)
  • Financial Tech Magazine (ver)

Y, por supuesto, en este Blog:

También he incluido información en la Presentación de Albalia Interactiva  (este PPT convertido a PDF incluye información sobre ABANCE)

El objetivo del proyecto es contribuir a la creación de una infraestructura de certificación común para la banca, que permita poner en valor inversiones anteriores y aprovechar las ventajas creadas por los desarrollos legislativos y la madurez de la tecnología.

Parte de los logros de iniciativas como Consorcio Iberion, GTA (Global Trust Authority) e Identrus, intentando aprovechar sus mejores aportaciones y soslayar los problemas por los que dichos proyectos no fueron un éxito.

Contribuye a ello el marco de desarrollo de servicios de firma electrónica, especialmente con el DNI electrónico que está siendo una realidad en España, y el despliegue de tarjetas EMV a partir de 2008 como compromiso de SEPA

Conferències TIC-2007: La factura electrònica

Deja un comentario

Esta tarde estaré en Barcelona en el Il·lustre Col·legi d’Advocats de Barcelona donde a partir de las 16:00 tiene lugar el evento Conferències TIC-2007: La factura electrònica.

Con el objetivo de analizar la ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el reglamento por el que se regulan las obligaciones de facturación intervendremos:

Juan José Segura
Responsable de Factura Electrònica del Departament d’Informàtica Tributària de l’AEAT.

Julián Inza
Coordinador del Grup E-factura d’ASIMELEC.

Santi Casas
Director General Catalunya ALBALIA INTERACTIVA.

Jesús Ricart
Assessor fiscal

Pilar Franquet
Consultora de Serveis Financers de «la Caixa».

Josep Torres
Cap de l’Àrea de Gestió i Coordinació de CATCERT (projecte d’implantació de l’e-factura a l’administració autonòmica i local catalana promogut per l’AOC, la Diputació de Lleida i l’Ajuntament de Barcelona).

MODERADOR:

David Gràcia
Advocat. Vocal de la Secció de Dret de les Tecnologies de la Informació i la Comunicació de l’ICAB.

Lista PKI

1 respuesta

Hace unos años (por el año 2000-2001) Oscar Conesa coordinaba la lista de correo de PKI, en la que participábamos unos cuantos pioneros.

Aun quedan vestigios y rescoldos.

A su pluma se debe el siguiente artículo sobre el Comercio Electrónico  que fue publicado por el año 1999 (hoy ha perdido parte de su vigencia) en el Criptonomicon del CSIC, en el número 43 que coordinaba Gonzalo Álvarez Marañón

Introducción

Entendemos el Comercio Electrónico como cualquier tipo de intercambio financiero realizado a distancia y por medios electrónicos, siendo Internet el medio ideal para realizar este tipo de negocios. EL principal beneficio que puede obtenerse en este tipo de negocios es la relación directa entre fabricante y cliente sin necesidad de intermediarios lo que en teoría debería rebajar el precio del producto. Hoy en día se puede realizar este tipo de actividades a través de Internet pero aun no se ha producido el verdadero «boom» que según todas las consultorías importantes se producirá en los próximos años. Tan solo algunas empresas pioneras, como el conocido caso de la librería Amazon, han sabido aprovechar la oportunidad. Aunque también es verdad que muchas grandes empresas están preparándose a la espera de ese gran «boom» anunciado del Comercio Electrónico.

Principales problemas del comercio electrónico hoy

Hoy en día el principal problema es que la gente no se ha lanzado a comprar por Internet por una falta de costumbre y seguridad. Las empresas deben crear un marco global que permita las transacciones seguras por Internet, e inevitablemente esto debe venir acompañado de una rebaja sustancial en los precios que haga atractivo a los nuevos consumidores utilizar este medio.

Seguridad en las Transacciones Electrónicas

Desde el punto de vista de la Seguridad Informática, el principal problema radica en garantizar la seguridad de las transacciones electrónicas realizadas a distancia. Esto debe garantizarse mediante el uso de la moderna criptografía de clave publica.

El método de pago por excelencia en Internet es y será las tarjetas de crédito. Para ello ahora se esta utilizando el protocolo SSL que garantiza la creación de un canal seguro entre Cliente y Vendedor. Por este canal el Cliente envía su Numero de Tarjeta de Crédito. EL Vendedor hace pasar este numero por un Interface a un TPV (Terminal Punto de Venta) como los que se utilizan en todas las tiendas para cobrar con tarjeta y así se realiza la transferencia. Aunque se garantiza la confidencialidad de las transmisiones, aun hay varios puntos muy importantes que SSL no garantiza:

  • No hay recibos, una reclamación por parte del cliente quedaría a la buena voluntad del Vendedor.
  • No hay autentificaron de tarjetas, cualquier persona que tenga acceso a un numero de una tarjeta de crédito podría realizar una transacción. El cliente puede realizar fraudes fácilmente.
  • El Vendedor obtiene toda la información del cliente (numero de tarjeta de crédito) y podría utilizarla fraudulentamente.

¿Tienen solución? ¿Qué se está haciendo para solucionarlos?

En un sistema de comercio electrónico se deberían garantizar las siguientes características:

1. Confidencialidad: Ninguna persona ajena a la transacción debe tener

acceso a los datos financieros. Mas aun, seria importante que el vendedor tampoco tuviese acceso a esos datos y que el banco no tuviese acceso a los datos de la venta.

2. Integridad: El sistema debe garantizar que la integridad de los datos enviados, de no ser así el Vendedor podría aumentar el importe de la compra posteriormente, por ejemplo.

3. Autenticación: Todos los participantes deben estar perfectamente identificados para evitar el principal tipo de fraude: la utilización de tarjetas de crédito robadas.

4. No repudio: El sistema debe generar Recibos que impidan que alguno de los participantes en la transacción niegue haber participado en ella.

SSL no garantiza la mayoría de estas propiedades. Por este motivo VISA y MASTERCARD decidieron dar un impulso a la utilización de Tarjetas de Crédito en la compra por Internet creando un nuevo protocolo que tuviese en cuenta todos estos condicionantes. El protocolo resultante se llama SET (Secure Electronic Transactions). Este proyecto cuenta con el apoyo de empresas como: IBM, GTE, Microsoft, Netscape, RSA, Verisign y Verifone (HP).

SET – Secure Electronic Transactions

En este protocolo se establecen tres entidades independientes: El Cliente, el Vendedor y la Pasarela de Pago. Todas las comunicaciones entre ambos se realizan por Internet y se cifran. Antes de realizar cualquier transacción, todas las partes deben obtener un Certificado Electrónico que garantice su Identidad.

El protocolo comienza cuando el Cliente abre su software de Billetera Electrónica y decide hacer una compra. El Vendedor envía un mensaje que especifica la descripción del producto y el importe del mismo, así como un certificado con su clave publica. El Cliente cifra su numero de tarjeta de crédito y estos datos y los envía al Vendedor. El Vendedor, una vez recibido este mensaje lo descifra y lo vuelve a cifrar con la clave pública de la Pasarela de Pago. La pasarela recibe el mensaje y lo envía al Banco correspondiente utilizando las redes bancarias. Se realiza la transacción y la Pasarela envía la respuesta al Vendedor y este la manda al Cliente finalizando así la compra. Todos los mensajes se firman digitalmente de tal manera que existan comprobantes de compra.

Los datos bancarios se firman con un sistema denominado firma dual, que posibilita que el banco no tenga acceso a los datos de la compra y que el Vendedor no pueda acceder a los datos financieros de la tarjeta de crédito.

Los algoritmos criptográficos utilizados son RSA y DES.

¿El comercio electrónico será una realidad o es una quimera futurista?

SET ha sido aceptado por todos los implicados, incluidos los bancos que han apostado fuertemente por este sistema. Para que SET funcione es necesario que se den los siguientes pasos:

  • Incorporar software de Billetera Electrónica SET en los navegadores.
  • Creación de Software de Vendedor, Pasarela de Pago y Autoridad Certificadora compatibles con SET.
  • Crear los certificados SET tanto para Clientes como para Vendedores y Bancos.

Situación de España en el panorama del comercio electrónico

En España se ha apostado muy fuerte por el protocolo SET, tanto es así que se ha creado una Autoridad Certificadora especialmente para este propósito llamada ACE (Agencia de Certificación Electrónica). ACE fue creada por Telefónica (40%), sistema 4B (20%), Visa España (20%) y la Confederación Española de Cajas de Ahorro (CECA-20%). Lo que significa que toda la banca española esta incluida en este proyecto. ACE ha comenzado a emitir certificados SET pero de modo experimental. De momento se ha creado una pasarela de pago en Sistemas 4B.

Futuro de SET

Aunque se ha apostado muy fuerte por SET, este sistema no acaba de arrancar por diferentes motivos. Según mi opinión este sistema no llegara a funcionar en su versión actual sino que se esperara a la versión SET 2.0.

El defecto de SET 1.0 es el modo de almacenar los certificados electrónicos, que convierten a estos archivos en un punto muy vulnerable del sistema de seguridad, sobre todo teniendo en cuenta que serán utilizados por el publico en general.

SET 2.0 es la nueva versión de SET que integrara el uso de Tarjetas Inteligentes. El principal problema es la necesidad de incorporar un lector de tarjetas en cada PC. Si se superase este problema tendríamos un sistema realmente robusto de pagos electrónicos.

Expertos en derecho de nuevas tecnologías en Negonation


Agradezco a David Blanco que me haya incluido en el «Negonation Security Excellence Center” (SEC), un organismo consultivo externo e independiente integrado por personalidades de gran relieve cuyo objetivo es asesorar a Negonation en materias jurídicas y tecnológicas.

En la actualidad, el SEC está formado por las siguientes personas:

Los participantes muestran un foco claro en derecho de nuevas tecnologías, arbitraje y firma digital.

Todos ellos velarán por que los servicios ofrecidos por Negonation gocen de las máximas garantías. En este proyecto se atreven a soñar con una justicia mejor, más rápida y eficiente. Aunque con perfiles diversos, incluso filosofías contrapuestas, es de esperar que de la diversidad nazcan conversaciones interesantes y soluciones originales, válidas para todos. Todos los despachos mencionados realizarán un piloto de Tractis.

Negonation está dedicada a la consecución de un comercio electrónico seguro y confiable global, por encima de islas legislativas. Partiendo de la base de que “seguridad” y “confianza” son dos palabras difíciles de definir, más relacionadas con una sensación subjetiva que con un hecho objetivo, la solución no está en utilizar un estándar, tecnología, hardware, filosofía, proceso o legislación concreta. Se trata más bien de lograr una combinación de muchas aportaciones, sin fórmula magistral. El usuario se sentirá seguro utilizando Tractis o no. Confíará en el servicio o no. Pero aspectos como la formación y el soporte de este foro pueden ser pasos en la dirección correcta.

La firma electrónica en las juntas generales de accionistas

6 respuestas

El 24 de mayo pasado vi en algunos periódicos la convocatoria de Junta General de Accionistas de Altadis. Cada vez que veo una convocatoria, me leo la parte de Voto a Distancia y Delegación. Y año tras año, veo que se siguen cometiendo los mismos errores. Algunas entidades fueron pioneras en el año 2004 y es asumible que cometieran algunos errores, pero lo gracioso es que sus errores los copiaron otras, y así año tras año.

Desde el año 2004 en Albalia Interactiva hemos estado asesorando a los Consejos de Administración de entidades importantes para desarrollar correctamente la parte de firma electrónica de la gestión del voto a distancia y de la delegación a distancia de las Juntas Generales de Accionistas de sus sociedades. En la actualidad somos menos activos en este tema porque estamos excesivamente ocupados con los de la factura electrónica.

Sin embargo no he podido evitar irritarme por el escaso conocimiento que sobre los aspectos jurídicos de la fima electrónica exhiben los asesores mercantiles (muchos de prestigiosos despachos de abogados) de las empresas cotizadas. Hoy me he fijado en Altadis, pero intentaré ir recogiendo en el Blog otras convocatorias que me parezcan equivocadas.

A raiz de la convocatoria mencionada, he preparado un Podcast sobre el asunto. Es un poco espartano, pero espero merecer vuestra indulgencia, ya que es el primer intento. En sucesivos Podcasts iré mejorando.

Dura 2 minutos 50 segundos y se titula La firma electrónica en el voto a distancia y en la delegación por los accionistas en las juntas generales de accionistas. Ocupa 4M en MP3.

Firma electrónica en banca

3 respuestas

El sector bancario ha sido, junto con el académico, el que más tempranamente acogió los conceptos de criptografía de clave pública y certificación digital como componentes de seguridad de soluciones por desplegar. Lo cierto es que también el sector financiero ha sido promotor de la criptografía de clave simétrica desde mucho antes, adoptando el DES (Data Encryption Standard) como  base de sus sistemas de cifrado en todos los dispositivos relacionados con los medios de pago, como TPVs y Cajeros automáticos.

Sin embargo, iniciativas tan prometedoras como “Negocios Cibernéticos”, ACE, Iberion, GTA o Identrus han quedado por el camino como testimonios de “failure case” : soluciones para problemas que no existían. Y como corolario la sentencia “Las PKI no funcionan en banca”.

 

En banca, ha sido frecuente justificar la escasa adopción de técnicas seguras de identificación con argumentos como “el usuario no lo demanda”, “añade complejidad al sistema”, “no hay casos de fraude”, “es complejo de gestionar” o “es caro”.

Todos esos argumentos, que en realidad son falaces, no han sido óbice para que la banca impulsara en el pasado el despliegue de canales, productos y servicios de gran aceptación por los usuarios, lo que se ha demostrado años después de que se “impusieran” a los clientes sin que existiera demanda, sin que importara la complejidad añadida, o el coste de despliegue. En particular el rentable (hasta hace unos meses) mundo de la tarjeta de crédito  se ha desarrollado con un nivel razonable de seguridad en el mundo físico (muy basado en los servicios de autorización en tiempo real) hasta el punto que, en España,  hacían poco necesaria la adopción de medidas adicionales.

En cambio, en el despliegue  del canal Internet, el relajamiento excesivo en la adopción de medidas de seguridad, tras el argumento de que “otras entidades están peor”, “se frena el crecimiento de usuarios” , “genera llamadas al call center”, ha retrasado el consenso en la adopción de estándares comunes hasta que se ha producido una avalancha de incidentes asociados a téminos como “phishing”, “pharming” “keyloggers” y “troyanos” que están creando una verdadera alarma social y ponen en peligro no solo la credibilidad del nuevo canal, sino incluso el buen nombre de la banca en su conjunto, con quiebra de conceptos como el de “confianza” que son la base del negocio bancario.

Todos estos incidentes eran previsibles, y de hecho algunas voces llevan años advirtiéndolo. Sin embargo, ahora son una realidad y hay que tomar medidas. Y las medidas las está tomando cada entidad a su manera, unas con mensajes a móviles, otras con tarjetas de coordenadas, algunas con teclados en pantalla (afortunadamente, las menos), otras con dispositivos de clave fungible (OTP, One Time Password) y las más sofisticadas con Certificados Electrónicos.

 

La primera crítica a todas estas soluciones proviene de que los usuarios son clientes de varias entidades y diferentes “experiencias de usuario” son caldo de cultivo para que puedan producirse intentos de fraude basados en “ingeniería social” engañando a los usuarios, como de hecho sucede en técnicas como el Phishing. De modo que una recomendación sería consensuar aspectos comunes en la operativa de las distintas entidades para que las excepciones a la operativa (lo que suponen las técnicas de ingeniería social) al menos sea “sospechoso” para los usuarios.

Oath logoCalculadora OTP EMVSi se llega a consensuar la operativa, se estará muy cerca de disponer de infraestructuras comunes de autenticación. Aquí se puede limitar el coste de iniciativas que, desarrolladas individualmente por cada entidad, podrían ser muy caras. Por ejemplo, cabe pensar en disponer de servidores comunes de autenticación OATH de forma que los tokens OTP desplegados por todas las entidades sean compatibles, y no exijan que los usuarios carguen con varios dispositivos anillados a su llavero. O que las “calculadoras” generadoras de claves OTP  a partir de tarjetas EMV (Europay Mastercard, VISA, tarjetas con chip) sean compatibles, de forma que se pueda aprovechar el despliegue de tarjetas EMV impuesto por las condiciones de gestión SEPA (Single Euro Payment Area) en el sentido de que la operatividad y el coste de uso de las tarjetas sea equivalente a operaciones domésticas (las que llevan a cabo las entidades en su propio país).

El consenso tendría efectos beneficiosos, por ejemplo, en el despliegue de la firma electrónica a partir del DNI y otros certificados cualificados. En efecto, uno de los retos que supone aceptar firmas electrónicas respaldadas por sus correspondientes certificados electrónicos es que, según la Ley 59/2003 y la Directiva 93/1999, cualquier firma electrónica cualificada (la que se expide cumpliendo ciertos requisitos entre los que destaca la verificación presencial de la identidad del solicitante del certificado asociado) tiene equivalencia funcional con  la firma manuscrita, y por tanto impone la obligación de verificar su validez al tercero que confía en los certificados. En la práctica cualquier prestador de servicios de certificación europeo puede cumplir los requisitos y esto implica que las entidades financieras deben ser capaces de acceder a los servicios de información de validez de los certificados (a través de diferentes modalidades como OCSP – Online Certificate Status Protocol, CRL – Certificate Revocation List , o SCVP – Server-based Certificate Validation Protocol )  de CUALQUIER prestador de servicios de certificación. De modo que la gran oportunidad que representa el DNI electrónico (cuyo despliegue, que supone un gran esfuerzo, ha sido asumido por la Administración) se amplía y se complica por la necesidad de aceptar cualquier certificado emitido por cualquier PSC (Prestador de Servicios de Certificación)  español o europeo.  Esta tarea puede ser compleja para una sola entidad pero puede ser resuelta fácilmente desde  un organismo común que permita compartir sus costes. En el fondo no es muy distinto de lo que supone el sistema de validación “SARA” (Sistema de Aplicaciones y Redes para las Administraciones) desplegado por el Ministerio de Administraciones Públicas  para cualquier organismo de la administración.

Otra ventaja del consenso: la unificación en la estrategia de despliegue de EMV. Es obligatorio el despliegue completo de tarjetas EMV por parte de las entidades emisoras de tarjetas VISA y MasterCard (entre otras) antes de fin del año 2010 como consecuencia de los requisitos impuestos por la iniciativa SEPA. Dentro de las especificaciones EMV hay dos modalidades principales de funcionamiento que determinan la tecnología de la tarjeta chip: autenticación estática y autenticación dinámica. Sin tomar en cuenta algunos puntos débiles de los sistemas de autenticación estática, preferidos por los delincuentes, los de autenticación dinámica incluyen por un coste adicional poco significativo la posibilidad de gestionar claves privadas en la tarjeta, dentro de un infraestructura de clave asimétrica (PKI, Public Key Infrastructure). Hay algunas tarjetas que permiten su uso de forma simultánea como tarjeta EMV y como Dispositivo Seguro de Creación de Firma  (DSCF, SSCD, Secure Signature Creation Device), y son aptas, por tanto para que las propias entidades financieras puedan desplegar sus propios certificados cualificados. Entre estas tarjetas, cabe citar, por ejemplo la Advantis Crypto de SERMEPA y la M.MAR de Microelectrónica, aunque todos los fabricantes están desarrollando tecnologías convergentes.

El hecho de unificar la estrategia de despliegue de la tarjeta (incluso sin unificar su tecnología), permite compartir estrategias en la distribución del driver CSP o PKCS#11, que pueden facilitarse desde un organismo de comunicación común. Aquí convendría hacer algunos esfuerzos adicionales: la unificación del perfil de los certificados adoptando OID comunes y consensuando el significado de estos allí donde no hay un estándar, la colaboración en la gestión de una autoridad de certificación raíz común para los certificados de todas las entidades, que facilite el establecimiento de la cadena de confianza, el desarrollo común del Web Service de la AEAT para facilitar la generalización del uso en el ámbito tributario…

Con un coste marginal, respecto al que tiene el despliegue de tarjetas EMV convencionales, se puede conseguir la completa disponibilidad de certificados cualificados para los titulares de tarjetas, a un ritmo más rápido que el que puede lograr el DNI electrónico. De esta forma las entidades podrían establecer estrategias de comunicación que enfatizaran la disponibilidad de múltiples servicios (los mismos que se vayan desarrollando para el DNI) por el solo hecho de tener una tarjeta de crédito de la entidad.

La estrategia de colaboración en certificación ha recibido el nombre de “ABANCE” (Autoridad BANcaria de CErtificación) durante los  últimos años, pero en la actualidad es solo una de las múltiples áreas de colaboración de  bancos y cajas más allá de la interconexión de redes de medios de pago. Efectivamente, la posibilidad de colaboración en sistemas de claves de un solo uso (OTP) compartiendo el servidor de autenticación bajo el modelo OATH (Initiative for Open Authentication), amplía el alcance de ABANCE.

 

PKI ABANCE

Pero hay más. Las entidades están preocupadas ahora por el phishing, el pharming, los keyloggers o los troyanos, porque son amenazas muy claras que ya se han hecho presentes en nuestros días y se contabilizan en las estadísticas. Pero saben que cada nuevo paso que se da en la securización de las transacciones lleva aparejado una nueva modalidad de ataque o de fraude, la posibilidad de explotar una nueva vulnerabilidad  o de idear un nuevo tipo de engaño. Y es necesario un grupo de especialistas que permita reaccionar ante cada nueva situación. Sin restar mérito a las ofertas de empresas privadas que resuelven algunos de los retos o aportan soluciones parciales, sigue haciendo falta una acción integradora que sea un recurso de las entidades financieras. Es necesario un CERT (Computer Emergency Response Team) o, por usar un término más actual, un CSIRT (Computer Security Incident Response Team), es decir, un Equipo de Respuesta ante Incidentes de Seguridad Informática Bancario.  

Desde hace algunos meses esta es una idea que he intentado promover, y finalmente parece que ya existe un grupo de entidades que están dispuestas a acometer su creación. Este órgano se está estructurando como una de las líneas de actuación de una nueva Fundación que tiene objetivos adicionales. En efecto, otra las líneas de actividad identificada como esencial ha sido la que lleve a término la determinación de luchar contra la impunidad en la red. Ha llegado el momento de pasar de una situación defensiva, en la que la máxima aspiración de una entidad es minimizar el quebranto y posicionarse en seguridad sólo un poco mejor que los competidores (la gacela no pretende correr más que el león, sólo más que la víctima, otra gacela) a otra ofensiva en la que sea posible localizar al delincuente y que este pague por el delito, restituyendo la confianza al medio.

La iniciativa, aunque novedosa, tiene un antecedente notable en la BSA (Business Software Alliance). Esta institución de carácter multinacional, con presencia en 80 países,  propugna el uso legal del software y promueve diferentes iniciativas adaptadas a la situación del país en el que actúa. De forma similar, la Fundación para la Confianza Digital promueve un uso seguro de la red actuando contra los delincuentes en cualquier lugar del mundo, apoyándose en abogados e investigadores que actúen en los países en los que esté presente. Permitiendo una reacción ágil ante ataques internacionales, apoyándose en la legislación y los medios del país desde el que actúa, colaborando con la policía y la justicia hasta lograr la condena y el cumplimiento de la pena de los atacantes. Proporcionando medios y formación a la policía y a los miembros de las diferentes instancias jurídicas, de todos los países. Reforzando la seguridad de las redes, la idemnidad de los usuarios y la confianza en el medio y en las instituciones. Las entidades Fundadoras están en estos momentos revisando los estatutos y estructurando su participación con la idea de constituirla a lo largo de 2007. Si se cumplen las previsiones, se habrá dado forma al adagio “La mejor defensa, el ataque”.

Exposec en Fuerteventura y en La Gomera

Deja un comentario

Acabamos de regresar de La Gomera donde finalizó el periplo de empresas de ASIMELEC que colaboran en las jornadas Exposec, difundiendo conceptos de seguridad y confianza en las comunicaciones, firma electrónica y factura electrónica entre las empresas.

El viernes 18 de mayo fue la jornada de La Gomera y el miércoles 16 la de Fuerteventura.

Para la ocasión se desplazaron Martín Pérez, Presidente de ASIMELEC y Experto en Seguridad (es Director general de i-Systems); José Pérez, Director General de ASIMELEC; Ignacio Carrasco, Director deExpansión de ASIMELEC, José Helguero, Director General de HELAS CONSULTING; Miguel Vega, Director de Marketing de ipsCA, Alfredo Gosálvez, Director General de Firmaprofesional, Victorino Martín,  Director de Seguridad TIC del GRUPO ICA; Sergio Pérez,  Responsable de Publicaciones de Red.es y yo mismo, contando con el soporte de  Maria Luisa Blasco, de Atenea Interactiva y Juan Carlos.

Además colaboraron los Cabildos de La Gomera y de Fuerteventura y las Cámaras de Comercio de Fuerteventura (de reciente creación) y de Tenerife.