Archivo de la categoría: Firma Electrónica

Firma Electrónica en Arquitectura SOA

Deja un comentario

El 17 de Noviembre de 2011  se celebrará en Madrid el curso de Firma Electrónica en Arquitecturas SOA. Servicios PKI», que impartiré junto con Fernando Pino. Lo organiza Atenea Interactiva.

Una excelente oportunidad para conocer como se gestiona la firma electrónica en servidor para poder aplicar de forma segura las políticas de firma de la empresa o de las administraciones públicas. Ahorros significativos de costes y optimización de la seguridad respecto al uso de tarjetas de firma electrónica que se comparten o se pierden. Y con las mejores prácticas para la gestión de firmas electrónicas  automatizadas.

Programa del Seminario Firma Electrónica en Arquitectura SOA

1. Service-oriented Architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA
  • Factura electrónica firmada.

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, OCSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles: posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados. Unión necesaria

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES
  • Estándar DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSLs. Proyecto Stork

Firma Electrónica y Diplomática Digital – Seminario para los Archiveros de Navarra

2 respuestas

El próximo Viernes, 11 de noviembre de 2011,  de 9:30 a 14:30 horas, impartiré un seminario en el Civivox de Iturrama en la calle  Esquíroz 24, de  Pamplona sobre  Firma Electrónica y Diplomática Digital, auspiciado por la Asociación de Archiveros de Navarra

Estos son los temas que trataré:

1. Conceptos de Diplomática

  • Archivística, Paleografía, Sigilografía
  • Cartularios, Códices Diplomáticos, Tumbos, Becerros
  • Autenticidad de los documentos en papel
  • Partes de un documento
  • Tipos de documentos

2. Marco Legal

  • Normativa en relación con los archivos
  • Normativa en relación con la Firma Electrónica
  • Normativa de Administración Electrónica
  • Normativa sobre Contratación Electrónica
  • Estándares aplicables en la Gestión de Documentos Electrónicos

3. Diplomática Digital

  • Autenticidad de los Documentos Electrónicos. Obliterabilidad, Endosabilidad, Completitud
  • Custodia Digital. Cartulario Digital. Archivo de Constancias Electrónicas. código de Verificación
  • Convivencia de Documentos Electrónicos y de papel. Albalá, copia constatable, Digitalización Certificada. Localizador

4. Firma electrónica

  • Descripción técnica de la Firma Electrónica.
  • Descripción legal de la Firma Electrónica.  Firma Avanzada. Firma Reconocida
  • Prestadores de servicios de certificación en España y en Europa
  • Firma Básica, Fechada, Completa. Conservación de firmas a largo plazo
  • Timestamping. Comprobación de validez de certificados (CRL, OCSP)
  • Dispositivos seguros de creación de firma.

5. Gestión de Documentos en el Sector Público

  • Sede Electrónica. Código seguro de verificación
  • Registro de entrada, registro de salida, registro telemático, interconexión de registros. SICRES
  • Expediente Electrónico
  • Digitalización de Documentos
  • Interoperabilidad de Gestión de Documentos entre Administraciones
  • Clasificación de documentos. Metadatos
  • Notificaciones Fehacientes. Notificaciones Obligatorias

6. Gestión de Documentos en el Sector Privado

  • Contratos. Novación Electrónica. Prestación del consentimiento
  • Digitalización Certificada de facturas. Digitalización Certificada de otros tipos de documentos
  • Uso de la Firma Electrónica. Requisitos de la digitalización de firmas manuscritas para que sea considerada Firma Electrónica avanzada. Tabletas digitalizadoras, bolígrafos electrónicos
  • Notificaciones Fehacientes. Correo Electrónico Certificado.

Es una satisfacción que los Archiveros de Navarra hayan pensado en mi para ello. Eso de ser «profeta en su tierra» no es habitual.

Funcionalidades de BackTrust

Deja un comentario

BackTrust es una plataforma de servicios (SOA)  asociados a la firma electrónica que puede ser utilizada en entornos de Administración Electrónica y también, en el sector privado, en el marco de las obligaciones de Interlocución Telemática.

Es un producto de Albalia Interactiva, con versiones para plataformas Mainframe (System z), entornos Linux y entornos Windows Server

Entre los servicios que presta BackTrust cabe citar los siguientes:

  • Servicio de Firma (DSS). El servicio de firma automatizada permite firmar documentos XML y PDF, respectivamente con firmas XAdES y PAdES. Los documentos de otro tipo pueden encapsularse en firmas CAdES o firmas XAdES, si bien requerirán de servicios de comprobación compatibles con la técnica de encapsulado.  Este servicio permite también  verificar las firmas de documentos ya firmados. El servicio permite utilizar diferentes claves y certificados, asociados a diferentes políticas, que se gestionan de forma centralizada en un HSM (Hardware Security Module). Se usa, por ejemplo, para automizar el uso de los sellos de órgano.
  • Ejecutable de firma en cliente: permite la firma de documentos por parte de un usuario, haciendo uso de su clave y sucertificado digital. Existen 2 variantes: firmador java (websigner) y firmador de escritorio.
  • Servicio de Sellado. Este servicio emite y verifica sellos de tiempo sobre protocolo RFC 3161 y (o)  webservice (DSS). Si se usa con un certificado de TSU de una CA apropiada, en el marco de un acuerdo de gestión, estos sellos de tiempo pueden tener valor legal.  El sistema permite sincronización mediante NTP (accediendo a ROA), GPS y DCF77.
  • Servicio de Validación Avanzada de Certificados. Este servicio permite comprobar la validez de un certificado y extraer la información contenida en él, relativa al titular del mismo (nombre y apellidos, NIF/CIF, correo electrónico, etc.).
  • Servicio de Copia. Este servicio añade información gráfica (Código QR) relativa a una firma electrónica sobre una copia constatable de un documento electrónico (albalá), facilitando así posteriores procesos de comprobación de documentos electrónicos impresos.
  • Servicio de Potestades. Este servicio permite gestionar y comprobar atribuciones en un marco de gestión de políticas de firma, o en relación con flujos de proceso (worlflows) de diferentes roles del organismo (cargos administrativos, firmantes finales por nombramiento oficial, responsables, apoderados, …).
  • Servicio de Custodia. Este servicio permite almacenar y recuperar documentos almacenados en el Sistema de Constancias (Cartulario). Existen varios tipos de custodia con diferentes restricciones de acceso (o sin restricciones). Se utiliza el concepto de Código Seguro de Verificación.
  • Servicio de Interconexión con otras Redes. Este servicio permite obtener información de validación de certificados y otras informaciones de redes asociadas. En particular existen integraciones con la Red SARA y con el sistema de acceso a información de certificados revocados definido por la AEAT (ycaestec).
  • Servicio de Publicación Fehaciente. Este servicio permite obtener certificados que acrediten fehacientemente el momento en el que los documentos son publicados en una Sede Electrónica. Utiliza el sistema de sello de tiempo y permite cumplir el artículo 42 de la Ley de Contratos del Sector Público (en el caso de las administraciones públicas) o la normativa de publicación de convocatorias de juntas de la Ley de Sociedades de Capital (en el caso del sector privado).

Además de la dispobilidad de funcionalidades en modalidad de servicio SOA, existen módulos que desarrollan las funcionalidades en forma de API (SDK) para ser invocadas por otras aplicaciones en entorno cliente o en entorno servidor. En particular, en entornos EDITRAN, permitiendo la firma y comprobación de firma de mensajes intercambiados entre plataformas de diferente tecnología.

«Sede Electrónica» en el sector privado

7 respuestas

Aunque lo mencioné en un artículo reciente, Comprobación de la convocatoria a la Junta de Accionistas en Sede Electrónica, quiero insistir en el concepto de sede electrónica en el sector privado.

Para mi, la sede electrónica es uno de los componentes de la matriz digital, es decir, uno de los mecanismos que define la autenticidad de los documentos electrónicos junto con la firma electrónica.

La Matriz Digital está compuesta de:

  • Sede Electrónica
  • Código Seguro de Verificación
  • Metadatos convencionales
  • Metadatos con funcionalidad de completitud documental (anotaciones, diligencias, documentos conexos, obliterabilidad, endosabilidad, datos de cesionarios y cedentes, asociación a expedientes)
  • Sistemas de control de integridad de datos (indices -«foliado»-, control de precedencia, control de integridad procedimental -«auditabilidad»-, estampación temporal -«timestamping»-).
  • Representaciones originales y facsimilares de los documentos.

La matriz digital (que yo frecuentemente denomino cartulario electrónico) forma junto con la firma electrónica la base de la autenticidad de los documentos electrónicos, y permite llevar a cabo todas las funciones que permiten los documentos en papel y que no son posibles si solo se usa la firma electrónica.

En la normativa asociada al sector público ya existe un marco conceptual que determina un conjunto de presunciones respecto a la gestión de documentos electrónicos, pero ese marco no se ha definido de forma expresa para el sector privado.

Por eso la definición en el artículo 11 bis de la reciente Ley 25/2011, de 1 de agosto, de reforma parcial de la Ley de Sociedades de Capital y de incorporación de la Directiva 2007/36/CE, del Parlamento Europeo y del Consejo, de 11 de julio, sobre el ejercicio de determinados derechos de los accionistas de sociedades cotizadas del concepto de sede electrónica, aunque con un alcance algo más limitado que el que se le da en la administración electrónica, permite trasladar al ámbito civil y mercantil muchas de las presunciones creadas por la normativa administrativa.

Y de esta forma, los conceptos de la diplomática digital (válidos por sí mismos, por estar basados en los elementos de las evidencias electrónicas) alcanzan en el sector privado el nivel de presunción del que ya gozaban en el sector público.

Cláusula contractual de notificaciones electrónicas

Deja un comentario

Las notificaciones por correo electrónico certificado (e-mail certificado) son mucho más económicas que las realizadas por via notarial o por burofax. En muchos contextos las notificaciones por correo postal certificado no son adecuadas, porque no dejan constancia del contenido de la comunicación.

Por ello, siempre que sea posible, es recomendable incluir en los contratos una cláusula que establezca la forma en que se notificarán las partes haciendo uso del correo electrónico. Una cláusula tipo podría ser la siguiente:

Notificaciones. Las partes acuerdan que las comunicaciones y notificaciones entre ellas podrán ser realizadas por via electrónica a través de sistemas de terceros de confianza, tal como Noticeman,  que permitan acreditar el momento de realización de la comunicación, el contenido de la notificación y la identificación del remitente y del destinatario, utilizando sus direcciones de correo electrónico.

Se tendrá como válida al efecto del cómputo de los plazos, la fecha que conste en el sistema utilizado para la remisión de la notificación, independientemente de la fecha a la que haya tenido acceso a ella el destinatario, e, incluso si no ha llegado a acceder a ella, por error en la identificación u otra causa no imputable al remitente. Por parte de la entidad (o de la persona)  XXX, la dirección de correo electrónico a utilizar es xxx@yyy.com.  Por parte de la entidad (o de la persona)  ZZZ, la dirección de correo electrónico a utilizar es zzz@uuu.es.

Este tipo de cláusulas son muy útiles para facilitar notificaciones, preavisos, requerimientos entre partes de forma fehaciente.

Sello de calidad en el uso de sistemas de digitalización de firmas manuscritas

Deja un comentario

En EADTrust estamos impulsando un conjunto de buenas prácticas sobre la gestión de firmas manuscritas, capturadas de forma digital por las entidades.

Para impulsar la adopción de estas buenas prácticas, hemos creado un sello de calidad, que otorgamos a las entidades que auditamos.

Las firmas digitalizadas gestionadas con los principios que hemos definido las llamamos firmas avanzadas digitalizadas.

Estos servicios están siendo contratados por entidades financieras, entidades aseguradoras, y entidades especializadas en captación comercial.

Complementamos los servicios de auditoría con servicios de asesoramiento y validación jurídica, que pueden ser de interés para conocer la aplicabilidad de las firmas digitalizadas avanzadas considerando la normativa aplicable:

  • Código Civil. Derecho de obligaciones.
  • Código Mercantil.
  • Ley de Enjuiciamiento Civil
  • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal.
  • Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
  • Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores.
  • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
  • Ley 7 / 1998, de 13 de abril, sobre condiciones generales de la contratación.
  • Ley 39/2002, de 28 de octubre, de transposición al ordenamiento jurídico español de diversas directivas comunitarias en materia de protección de los intereses de los consumidores y usuarios.
  • Ley 44/2006, de 29 de diciembre, de mejora de la protección de los consumidores y usuarios.

Autenticidad de documentos electrónicos con CSV (Código Seguro de Verificación)

10 respuestas

Estas días pasados he colaborado en la discusión sobre CSV (Código Seguro de Verificación) y su encasillamiento dentro de las variantes de firma electrónica de la normativa de administración electrónica, que ha tenido lugar en un grupo de LinkedIn centrado en la eAdministración.

Aunque el debate, muy interesante, es más amplio, quisiera transcribir aquí mis ideas relativas al cartulario electrónico, que no es sino la actualización de la idea de cartulario medieval, conocido por los diplomatistas.

En primer lugar, pese a lo que establezca la letra de la ley 11/2007 (que bien puede deberse al resultado de un comité donde no todo el  mundo tuviera las ideas claras), el CSV no es un tipo de firma electrónica, aunque se pueda hacer encajar en la «firma simple» que no definía la Ley 59/2003 (efectivamente, la describía sin concederle un término legal, aunque se ha popularizado el de «firma simple»).

Por desgracia la inclusión del CSV en la Ley 11/2007 (y en la normativa de desarrollo RD 1671/2009) ha servido para aumentar la confusión de tecnológos y juristas. Y es una pena, porque el CSV es un concepto tremendamente importante cuando se acompaña del de «sede electrónica» y el de metadatos (por cierto, metadatos singulares menos obvios que «autor», «tipo de documento», o «fecha de creación»).

Aunque probablemente la mejor forma de gestionar el CSV o localizador es a través de un tercero de confianza (y un ejemplo clásico es el notario y su número de protocolo), es posible que una entidad que gestione de forma diligente el sistema de referencias auténtico con una base de datos en las que se apliquen unas correctas medidas de seguridad auditables (para lo cual el Esquema nacional de Seguridad da algunas ideas), pueda manejar los CSV de forma intachable.

En todo caso, un documento electrónico (firmado electrónicamente o no) puede ser referenciado con dos componentes:

  • La identificación de la sede electrónica y
  • el localizador del documento en la sede (CSV)

Si el localizador es predecible, lo denominamos CVE, Código de Verificación Electrónica (como en el BOE) y si es impredecible, lo denominamos CSV, Código Seguro de Verificación.

Cuando la información de URL de la sede electrónica y el localizador se incluyen en un documento en papel que incluye también la representación facsimilar del documento electrónico, estamos ante un mecanismo de transporte de la evidencia electrónica que llamamos «albalá» y que se puede utilizar como prueba directa en juicio. El término se ha rescatado del concepto clásico de Albalá, conocido por los historiógrafos (carta o cédula real, emitida por una cancillerá y en la que detallaba una merced o una provisión; el albalá se rubricaba con la firma real, mientras que en el albalá que transcribe un documento electrónico, la clave de su autenticidad radica en incluir la información sobre la sede electrónica y el CSV).

Si la parte perjudicada por su aportación pusiera en duda su autenticidad, el secretario judicial podría destruir la controversia cotejando el documento en su fuente, o generando un nuevo albalá correspondiente a la identificación Sede+CSV y, en cualquiera de los casos, generando la diligencia que certifica la autenticidad del documento ( de forma semejante a una compulsa digital).

Un mero «recibo» que solo recoja la URL de la sede y el localizador surtiría el mismo efecto.

Los sistemas basados en localizadores son imprescindibles en la gestión de documentos electrónicos auténticos ya que aportan 3 propiedades que no se pueden lograr con la mera aplicación de la firma electrónica:

  • Obliterabilidad
  • Endosabilidad
  • Completitud

Y para ello necesitan complementarse con metadatos específicos, que, por desgracia, nadie ha tenido en cuenta en la reciente publicación (en el BOE de 30 de julio de 2011) de las Normas Técnicas de Interoperabilidad asociadas al desarrollo del ENI (el Esquema Nacional de Interoperabilidad).

Muchos de los conceptos que aplicamos en relación con la identificación de sede electrónica y código localizador, tienen su origen conceptual en los cartularios medievales (denominados también «tumbos» o «becerros»), donde la ordenada llevanza de la colección documental se complementaba con las medidas convencionales de legitimación y aseguramiento de la identidad de los firmantes en la zona de cada documento denominada «escatocolo».

De modo que el cartulario digital y la firma electrónica son dos instrumentos distintos y complementarios de la gestión de la autenticidad de los documentos electrónicos, y la «diplomática digital» la disciplina que tiene en cuenta ambos (junto con algunos aspectos más) para analizarla.

Otros artículos en los que he tratado temas afines a este han sido:

Seminario de «Diplomática Digital»

1 respuesta

El día 22 de Septiembre de 2011 se celebrará en las instalaciones de Atenea Interactiva, el seminario sobre la emergente disciplina Diplomática Digital, que se centrará en las siguientes áreas de conocimiento:

  • La Diplomática de Jean Mabillon
  • La Nueva Diplomática Digital del siglo XXI.
  • Normativas Aplicables.
  • Documentos Electrónicos y de Papel.
  • Digitalización Certificada.
  • Firma Electrónica.
  • Digitalización para Sector Público y Privado.
  • Entornos Jurisdiccionales.
  • Conceptos de Diplomática Digital presentes en la Ley 11/2007

El seminario no tiene coste si se bonifica a través de la Fundación Tripartita (450 € en caso contrario).

La diplomática es una ciencia auxiliar de la historia que se ocupa de la autenticidad de los documentos y que, aunque definidida inicialmente en 1681 con la obra “De re diplomática” de Jean Mabillon, ha dado lugar al concepto de “diplomática contemporánea”, uniformizada en el ámbito de las Administraciones Públicas gracias a la Ley 30/1992.

Aunque con la Ley 11/2007 se les ha dado un nuevo impulso a los aspectos digitales, a la hora de su implantación práctica se necesita manejar conceptos de forma  más holística de manera que sea posible resolver las dudas de aplicación más allá de la letra de la ley.

Asimismo, en el Sector Privado, la LSSI y el artículo 2 de la Ley 56/2007 consiguen proporcionar una orientación en la Gestión Electrónica de Documentos. Sin embargo, en muchas ocasiones surgen dudas sobre el valor jurídico de muchas de las iniciativas destinadas a mejorar la eficiencia en la Gestión de Documentos, por lo que es preciso tener claros los conceptos detrás de los proyectos de desmaterialización documental, con los que, bien realizados, se experimentan ahorros de decenas de millones de euros (en función de la dimensión de los proyectos) y períodos de recuperación de la inversión de entre 9 y 12 meses.

Completando el conjunto de herramientas legales en el sector privado, la reciente  Ley 25/2011, de 1 de agosto, de reforma parcial de la Ley de Sociedades de Capital define también la sede electrónica para las empresas, lo que permite consolidar las ideas de la diplomática digital en relación con la custodia digital.

En este seminario se desarrollan los conceptos claves a manejar, de la mano de expertos en Gestión Documental Electrónica de carácter probatorio, y se contextualizan en el marco jurídico español, aunque las ideas claves son de aplicación universal.

Evento Factura Electrónica Barcelona – EXPP – 100 invitaciones

Deja un comentario

El evento internacional de facturación electrónica  EXPP Summit, con el que colabora AMETIC y que en 2011 se celebra en Barcelona (el 26 y 27 de septiembre), ofrece cien entradas gratuitas para aquellos asistentes que cumplan con los siguientes criterios:

  • No han participado en ninguna edición anterior de EXPP Summit
  • Trabajan en entidades con más de 500 empleados
  • Sus entidades desarrollan actividades que les permiten encuadrarse como receptores o emisores típicos de e-facturas
  • Desempeñan responsabilidades como las siguientes:
    – CFO (Dirección Financiera)
    – Responsable del departamento de AR/AP (Contabilidad/Cuentas por  pagar)
    – Responable de Comercio Electrónico
    – CIO (Dirección de Infrastructuras Informaticas)
    – Responsable de Compras
    – Responsable de Facturación
  • Cuentan con autoridad para decidir o ejercen gran influencia sobre la toma de decisión relativa a los proyectos de facturación electrónica

Nota: Los consultores, proveedores de aplicaciones y servicios de e-facturación y de soluciones relacionadas no son candidatos a las entradas gratuitas.  El número de  entradas gratuitas se limita a 100 y se entregarán según un criterio riguroso de orden de solicitud. No se entregarán más de dos entradas por empresa. Para hacer valer la promoción es obligatorio inscribirse, aunque es preciso recibir la confirmación de la organización para tener la certeza de que la promoción es aplicable. En caso de renuncia, se ruega lo comunique a la organización lo antes posible.

Nota: El evento cuenta con traducción simultánea al español de las ponencias en inglés.

Otras referencias:

Construíndo a identidade dixital

Deja un comentario

Ya mencioné hace unos días mi participación en el evento Construyendo la identidad digital que tuvo lugar el 26 de enero de 2011 impulsado por el Colexio Profesional de Enxeñaría en Informática de Galicia y la Xunta de Galicia.

Relacionada con aquel evento se preparó una publicación (que elaboró la consultora Bahía Software) con reflexiones de los participantes en el evento sobre la posible evolución de la firma electrónica en un país tan puntero en ese tema como es España. Lo que sigue a continuación es la sección dedicada a Albalia Interactiva y a mi persona. En el enlace de más arriba se puede obtener el documento completo.

Albalia Interactiva

Albalia Interactiva é unha empresa de Consultaría e Servizos, de capital español, creada en 1997, con experiencia en ámbitos de alta tecnoloxía bancarios e de telecomunicacións.

Entre as súas especializacións están a seguridade, sinatura electrónica, factura electrónica, Administración electrónica, banca electrónica, medios de pagamento e mobilidade.

O enfoque seguido é de «Tecnoloxía Legal». É dicir, Albalia leva a cabo un intenso seguimento de todos os avances lexislativos que teñen implicacións tecnolóxicas no ámbito tanto das entidades financeiras coma noutros tipos de empresas nos que este enfoque sexa significativo. Deste xeito descóbrense interesantes posibilidades que poden ser aproveitadas polas entidades máis avanzadas ou máis preocupar polo servizo ao cliente e, noutras ocasións, identifícanse normas que implican obrigas para as entidades, o que se engloba nas necesidades de «Compliance» ou cumprimento normativo.

Albalia Interactiva desenvolve proxectos de Hacking Etico mystery shopping, Factura electrónica, UBL, XBRL, Siantura electrónica, Mobipay, DNI dixital, PDF intelixente, Voto electrónico, LOPD-LSSI, UNE 71502, ISO 17799, UNE 166001 e 166002, e-notario créditos persoais, e-notario hipotecario, tarxetas intelixentes, PKI, Single Sign On, Evidencias Electrónicas e Análise Forense.

Entrevista a Julián Inza

 «O noso valor engadido fundamental é a seguridade xurídica que achegamos en todos os procesos con documentos dixitais»

O presidente de Albalia Interactiva destaca como peculiaridade da compañía a sinerxía con empresas do grupo, en función das accións que realiza: de consultoría,de formación e de desenvolvemento de produtos e servizos.

Para Inza a complexidade das implementacións prácticas do uso do DNI electrónico están a atrasar o cambio esperado respecto ao descoñecemento ou indiferenza da cidadanía ante a certificación dixital.

A seguridade xurídica que ofrece Albalia Interactiva en todos os procesos nos que poida aplicarse a sinatura electrónica e certificación dixital é, segundo o presidente da entidade, Julián Inza, o valor engadido fundamental da marca. O grupo de consultoría e servizos relacionados coa certificación dixital e as novas tecnoloxías nace en 1997, como Libraría Interactiva. En 2003 créase Albalia Interactiva, enfocándose na consultoría técnica e xurídica e no desenvolvemento de solucións de seguridade, e a Libraría Interactiva transfórmase en Atenea Interactiva, a empresa do grupo especializada en formación. Albalia especialízase na seguridade, sinatura, factura, administración, comercio e banca electrónicas, así como en medios de pagamento e mobilidade. En 2009 nace EADTrust, a terceira empresa do Grupo, como PSC, Prestador de Servizos de Certificación. Especialmente dende 2003 o seu perfecto coñecemento da lei e da súa aplicación foi a clave da empresa, que ofrece aos seus clientes e usuarios esa seguridade xurídica en todas as súas accións. Ademais, outro valor que ofrece a compañía é o seu traballo como consultora e auditora en dixitalización certificada para empresas que desexan homologar as súas solucións ante a Axencia Tributaria. O proceso crea documentos dixitais a partir dos de papel e co seu mesmo valor. Ou, noutros contextos, é posible crear documentos que nacen de sinatura electrónica preservando o máximo valor probatorio, mesmo en instancias xurisdicionais centradas na presentación de probas en formato papel. «Podemos garantir que un documentoelectrónico ben xestionado iguala e supera en valor probatorio a un papel», explica Julián Inza.
Unha das peculiaridades do Grupo Interactiva é a súa organización estruturada en función das accións que realiza. Deste xeito, Albalia céntrase na consultoría, auditoría e prestación de servizos; Atenea Interactiva oriéntase á formación; e EADTrust é un PSC que usa e comercializa en forma de servizos os produtos desenvolvidos por Albalia. Segundo explica o presidente da compañía, o coñecemento e formación que ofrece Atenea céntrase especialmente nos campos da factura, sinatura e administración electrónicas, ademais de abordar calquera novidade legal relacionada directa ou indirectamente coa certificación dixital. O extenso e intenso labor de investigación que desenvolve esta organización permite despois aproveitar os seus avances en materia de auditoría e consultoría en Albalia. Pola súa banda, EADTrust traballa no campo do timestamping para completar a sinatura electrónica; na publicación fidedigna do perfil do contratante; na custodia de documentos electrónicos; na notificación fidedigna e no voto electrónico. Así, Julián Inza apunta que o Grupo ten dúas maneiras de enfocarse ao cliente: como consultora, que achega algúns produtos tecnolóxicos de confianza dixital, a través da firma Albalia, e como prestador de servizos de eConfianza na nube TIC a travésde EADTrust.

O enfoque de Albalia Interactiva é de tecnoloxía legal, é dicir, dende a empresa realízase un intenso seguimento de todos os avances lexislativos que teñen implicacións tecnolóxicas no ámbito das entidades financeiras, das administracións públicas e doutro tipo de empresas nos que este enfoque sexasignificativo. Deste xeito encóntranse posibilidades interesantes que poden ser aproveitadas polas entidades máis avanzadas ou máis preocupadas polo servizo ao cliente, ao tempo que se identifican normas que implican obrigas para as entidades, o que se engloba nas necesidades de cumprimento normativo.

Usos do certificado dixital

Respecto ao uso da certificación dixital, o presidente de Albalia Interactiva teno claro, é a Administración Pública «a que está a tirar do carro» e onde máis se impulsou esta nova tecnoloxía. «Os cidadáns aínda non son conscientes da versatilidade da sinatura electrónica», asegura Julián Inza, quen considera que a Administración Pública está sendo o tractor que impulsa o desenvolvemento destatecnoloxía e doutras conexas, como a custodia dixital representada pola sede electrónica e o código localizador CSV (Código Seguro de Verificación). De feito, para Inza a lenta adopción destas novas tecnoloxías entre a cidadanía explícanse tamén polo xeito tan complexo co que os implementadoresde solucións como o rexistro electrónico ou os sistemas de interlocución telemática tratan o DNIelectrónico, que provoca o rexeitamento ou indiferenza da poboación ante esta nova tecnoloxía. «Haique facelo máis sinxelo para o usuario, cos medios actuais pódense evitar fallos exasperantes ou tarefas repetitivas sen valor» insiste Inza.

Nesta liña, Julián Inza apunta a outros campos onde o uso do certificado dixital será interesante e terá grande importancia no futuro, como son a banca, a sanidade, a universidade e as empresas denominadas «de utilities», é dicir, que ofrecen servizos de telecomunicacións, luz, auga ou gas, entre outros. Son as entidades coas que os cidadáns interactúan frecuentemente e están obrigadas a dispoñer de sistemas de «interlocución telemática» ou a garantir o dereito dos cidadáns a relacionarse con elas por medios electrónicos.

Consultado sobre a transición do mundo do papel ao mundo electrónico, o presidente de Albalia Interactiva explica que ata o momento o mecanismo básico da xestión da sinatura está sustentado en «parábolas» dixitais do mundo físico, onde o paradigma é o formato PDF, » e practicamente o pouco que se fixo no sector privado é a sinatura de ficheiros PDF». Así, recorda que estes documentos enPDF teñen moitas carencias, que os do mundo do papel non teñen, e é que dependen do concepto de documento orixinal, que non existe no mundo dixital senón como convencionalismo. E é que, segundo explica Inza, cando tes un papel orixinal ese documento ten unha serie de calidades que o transcenden: a obliterabilidade; a endosabilidade e a completitude. Nos documentos electrónicos esas calidades desvincúlanse do concepto de orixinal e xestiónanse separadamente con sistemas decustodia dixital e unha definición intelixente dos metadatos axeitados, máis próxima á xestión informática transaccional, que á documental.

Neste contexto hai que sinalar o significado destes termos. A obliterabilidade implica a posibilidade de que un documento represente un dereito e deba quedar rexistrado se se fixo uso ou non do derei to. Por exemplo, un billete de autobús cancélase ao montar no autobús e non se pode reutilizar nofuturo. A endosabilidade implica a posibilidade de transferir a outro o dereito que reflicte un documento, algo relativamente doado de xestionar nos documentos nominativos e máis complexo nosdocumentos ao portador. O exemplo típico é o da letra de cambio ou os títulos valores (accións). A completitude é a capacidade de engadir anotacións á marxe, nos espazos libres ou engadindo follas,ou mesmo reflectindo elementos doutros documentos. Un exemplo é o dun contrato que reflicta aexistencia dun anexo posterior ou un poder no que se anote posteriormente que se revogou e se asocie a unha inscrición rexistral.

Para Inza, cando só queremos dar certeza de que un documento se asinou entre as partes un PDF é un documento válido. Por iso estamos a ver que o paso do mundo do papel ao electrónico e viceversa, por exemplo no ámbito da compulsa, se está a empezar a realizar través do PDFs asinados. Pero ad mite que no ámbito privado aínda falta un mecanismo que permita aos particulares exercer o dereitoá proba cando se trata da súa intervención en documentos electrónicos, que si poden xestionar os organismos e institucións que poñen en marcha os sistemas de relación telemática. Neste sentido, Inza destaca a interesante proposta posta en marcha poloGoberno Vasco, denominada Metaposta.Segundo a súa opinión, esta iniciativa pode evolucionar nun futuro cara a un sistema de correos electrónicos con mecanismos de custodia ou pode converterse nun dispositivo para centralizar asevidencias dos asinantes, «un modelo moi valioso». A dificultade, para Julián Inza, é que os cidadáns «aínda non interiorizaron o que supón unha sinatura electrónicano ámbito público e/ou privado».

Neste punto, Julián Inza recorda que o modelo electrónico de xestión de documentos require dous instrumentos: a sinatura electrónica e a custodia dixital. Segundo explica, a custodia dixital é esixente e complexa, xa que require a certeza a protección da información a longo prazo, e a súa dispoñibilidade ante instancias xurisdicionais, o que esixe a implantación de maiores mecanismos de seguridade; e implica a responsabilidade de organismo relacionado coa autenticidade do documento, deaí o concepto de sede electrónica. Os documentos precisan un control rigoroso de metadatos que reflicten a traza de anotacións ou vinculacións a identidades ou a outros documentos para garantir aobliterabilidade, a endosabilidade e a completitude. «A custodia dixital é máis complexa de xestionarque a sinatura electrónica que, aínda que tamén ten a súa complexidade, é unha materia na que todostemos máis experiencia», apostila.

No referente á introdución do certificado dixital no día a día dos cidadáns, o presidente de Albalia Interactiva considera que son «as xeracións novas as que realmente fomentarán o uso do certificado dixital de xeito habitual». A pesar desta optimista perspectiva de futuro, Inza tamén é consciente deque aínda «queda un tempo para madurar» e recoñece que hoxe en día só as persoas que teñen a obriga ou necesidade de utilizar o documento dixital no seu día a día o fan.

Documento notarial electrónico

No referente ao documento notarial electrónico, o presidente de Albalia Interactiva explica que esta tecnoloxía está considerada tanto no actual regulamento notarial, cuxa modificación foi moi recente,en 2007, como na Lei de Acompañamento dos presupostos doano 2002, Lei 24/2001. Así, explicaque este documento está pensado para determinadas comunicacións que se realizan entre notarios e rexistros, «que é onde teñen a súa maior virtualidade». Nesta liña tamén se enmarca o concepto de protocolo electrónico, que ofrece os parámetros básicos de como se debe facer unha custodia dundocumento dixital, «porque os conceptos de costura e de índice do protocolo son os mesmos que,aplicándoo ao mundo electrónico permiten a boa «levanza» da custodia dixital». Ademais, neste proceso, tal como recorda Julián Inza, os notarios,xuíces e secretarios xudiciais son figuras clave á hora de entender que é un documento electrónico, xa que son os profesionais do ámbito xurídico que máis claramente entenden o significado deste documento e os seus elementos básicos.

Para efectos prácticos actualmente aínda non se pode solicitar nunha notaría unha copia autorizada asinada electronicamente, salvo para o seu traslado a outro notario, a un rexistrador ou unha Administración pública, aínda que si unha copia simple, se o notario aprecia interese lexítimo, e esta posibilidade existe dende finais do ano 2001. É unha cuestión que, para Julián Inza, necesita aínda un tempo para a súa implantación, aínda que destaca o feito de que a día de hoxe»todos os notarios de España dispoñen da sinatura electrónica recoñecida».

Lexislación europea

O presidente de Albalia Interactiva é tallante en materia de lexislación e afirma rotundo que existe un déficit «moi grande» na Unión Europea procedente da mala aplicación do artigo 11 da Directiva 1999/93/CE do Parlamento Europeo e do Consello, pola que se establece un marco comunitario para a sinatura electrónica. Neste artigo esíxeselles aos países membros a comunicación á Comisión Europea do estado de supervisión dos prestadores de certificación dixital do seu ámbito. Malia esta obriga, Julián Inza lamenta que non se especificase de xeito claro a estrutura da información a subministrar, o que provocou que cada país o defina de xeito unilateral e envíe posteriormente a documentación á Comisión Europea. De feito, apunta que dúas cuestións clave na información a subministrar serían o certificado root da autoridade de certificación e o lugar onde consultar a validez dos certificados, o servizo OCSP (Online Certificate Status Protocol). Ademais, critica que, once anos despois de emitir esta directiva, se publicasen os protocolos TSL (Trust-service Status List), que deberían ter servido para facilitar o cumprimento da normativa e a elaboración dun listado común de prestadores de servizo, pero que, moi ao contrario, aínda manteñen carencias básicas, xa que, por exemplo, non inclúen información sobre os servizos de validación de cada un.

A falta de concreción da normativa europea provocou que actualmente non exista un listado común de todos os prestadores de servizos de certificación dixital de Europa, senón un simple listado de países e, dentro de cada un e nos seus respectivos idiomas, as indicacións de como encontrar cada undos prestadores nas súas propias páxinas web. Para Inzasería necesario dispoñer dun listado normalizado para que as ferramentas, por exemplo os navegadores, teñan o camiño máis doado para buscar a informaciónde prestadores de confianza e da validez de cada un dos seus certificados emitidos eredunde nunha mellor experiencia do usuario.

Nesta liña, o máximo representante de Albalia Interactiva apunta a unha alternativa a esta iniciativa da Unión Europea, e que consistiría nunha plataforma para acceder á lista de certificados revogadosdun xeito sinxelo. Nesta cuestión «España é pioneira e está a dar un exemplo a seguir», ao que axuda o feito de que sexa o país con máis prestadores de servizos de certificación daUnión Europea e,despois de Estados Unidos, o que máis prestadores de servizos de certificación ten rexistrados nosnavegadores.

Marco lexislativo español

«O ámbito de lexislación español está moito máis desenvolvido que o da maior parte doutros países do noso ámbito, é un dos mellores de Europa» «nestes momentos», expresa o presidente de Albalia Interactiva, ao tempo que concreta que este marco lexislativo está moi por diante do dos países anglosaxóns, e non tanto dos países de orixe latina, onde a necesidade da sinatura electrónica está máis clara e asumida. Aínda así, matiza que, a pesar de que hai un «bo nivel» en canto á cantidade de normativa referente a certificación dixital, se debería mellorar no referente á calidade. «Faría faltadesenvolver máis os conceptos do documento electrónico, incidindo na sistemática do documento»,apunta Julián Inza. Ademais, lamenta a descompensación lexislativa que existe para o sector público, con maior normativa, e para o sector privado, con menor detalle nas leis que impoñen o uso da sinatura electrónica.

Comunidades autónomas e certificación

Consultado sobre a decisión de determinadas comunidades autónomas de converterse en entidades de certificación ou prestadoras de servizos de certificación dixital, o presidente de Albalia Interactivadestaca con rotundidadea actitude que Andalucía tomou ao respecto. A pesar de non contar cunha autoridade de certificación dixital, ao seu xuízo, Andalucía entendeu ben a problemática da xestióndocumental electrónica, máis alá da relevancia que pode ter entre os seus organismos un prestadorde certificación propia ou non.

Por outra parte, para Julián Inza o peso que a identidade propia ten no ámbito das competencias é o que levou a comunidades como o País Vasco, a Comunidade Valencia ou Cataluña a desenvolver autoridades autónomas de certificación dixital. Neste aspecto Inza considera que en España existeniniciativas e experiencias «moi interesantes», así como profesionais altamente cualificados á frontedestas entidades autónomas. Non obstante, considera que o máis importante non é a capacidade paraprestar servizos de certificación, senón a capacidade de xestionar documentos electrónicos cos servizos de certificación que xa existen, » e aí o labor máis notable foi a que desenvolveu a AdministraciónPública andaluza».

Retos de futuro

O presidente de Albalia Interactiva ve como «case imprescindible» o feito de que no futuro todas as Administracións Públicas dispoñan de mecanismos de xestión de documentos electrónicos e de axuda no despregamento da administración electrónica. No referente á convivencia das entidades públicas e privadas de certificación dixital, Julián Inza consideraque o modelo de negocio da Fábrica de Moneda y Timbre (FNMT) debería cambiar e permitir o acceso sen custo á información decertificados revogados, o que implicaría tamén un cambio no seu mecanismo de financiamento. Por exemplo, cre que un cambio estratéxico sería incluír a CERES transitoriamente como parte da infraestrutura do Ministerio de Política Territorial e Administración Pública, o que lle proporcionaría unvalor engadido moi importante a un ministerio que, segundo destaca Inza, «está a facer un labor moi interesante na súa responsabilidade de dinamizador da modernización administrativa e na aperturado mercado da certificación».

«A longo prazo tería sentido que desaparecesen as iniciativas públicas de expedición de certificados dixitais», apunta tamén Julián Inza, quen considera que as necesidades de xestión de identidades dixitais de carácter público se cubrirán co DNIe, que permitirá xestionar a maior parte das necesidades de identificación a nivel persoal. Neste punto, Inzaexplica que en España existen na actualidadeao redor de 26 prestadores de servizos de certificación privados e públicos, polo que «sería interesante formularse se é necesario financiar con presupostos públicos iniciativas que teñen suficienteresposta por parte do sector privado, que pola súa banda se encontra en condicións de competencia desvirtuada polas iniciativas públicas».

Neste punto, o presidente de Albalia Interactiva considera que o principal reto do futuro dixital é rematar co problema da interoperabilidade das sinaturas electrónicas en Europa, o que se alcanzaría mediante a adopción xeneralizada de formatos baseados en XML; o uso de sinaturas XADES-XL; a inclusión de áncoras de confianza, dos certificados root dos PSC e URL dos servizos de consultas derevogación dos PSC nas TSL s; e a codificación correcta do campo de consulta de certificados revogados por parte dos prestadores de servizos de certificación. E nesta mesma liña, sería tamén necesario abordar o problema da interoperabilidade dos documentos electrónicos, un reto ao seu xuízo «moi difícil» cuxa solución pasaría por crear un repositorio sincronizado de formularios XML onde todos os formatos sexan subidos polo seu creador e modificado polos usuarios que os utilicen , se detectan carencias.

Unido a esta perspectiva de futuro dixital, o responsable de Albalia Interactiva recoñece que actualmente a implantación real da factura electrónica é outro dos grandes retos aos que se enfronta o cam po da certificación dixital e un avance tecnolóxico que supoñería importantes melloras de eficienciapara as empresas.

Albalia ante o futuro

Dende a súa creación, Albalia Interactiva formúlase como reto ir un paso por diante en materia de certificación dixital. Así, no plan estratéxico de futuro a compañía está a traballar a idea de crear unselo de calidade para o ámbito da dixitalización de sinaturas manuscritas, co que distinguir soluciónsque merecen ou non confianza, de tal xeito que se audite o sistema e avalen as solucións de xestióndocumental que asocian sinaturas dixitalizadas que cumpran certos principios, como a imposibilidade de reutilizar as sinaturas capturadas por parte das entidades que as captan, con comprimidos dixitalizadores ou por outros procedementos.

Ademais, entre os labores de Albalia Interactiva, Julián Inza formula a necesidade de estudar de que forma se recollen as evidencias para que a sinatura dixital teña o valor que lle outorga a lei, porque «calquera sinatura dixital non é válida». «O problema é que os usuarios non saben distinguir candohai por detrás sistemas que ofrecen confianza ou non», lamenta.

«A Administración Pública está facendo esforzos para inculcar no cidadán esa forma de exercer os seus dereitos a través da tecnoloxía, e o sector privado poderá subirse á onda e beneficiarse diso», conclúe Inza.