Archivo de la categoría: Identidad Digital

¿Cuantos tipos de firma avanzada existen?

1 respuesta

Según la legislación aplicable en España, y obviando la Ley 59/2003 que en lo esencial se ha visto sustituida por el Reglamento (UE) 910/2014 (EIDAS) se definen tres tipos de firma electrónica:

  • «firma electrónica (simple)», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
  • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única.
    • permitir la identificación del firmante.
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
  • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica. Es equivalente a la firma manuscrita.

La firma electrónica avanzada puede ser:

  • No basada en certificados. En cuyo caso, la vinculación del firmante con lo firmado, la identificación del firmante y su creación con un alto nivel de confianza, bajo su control exclusivo, deberá gestionarse con técnicas apropiadas, incluyendo las criptográficas. Entre estas se encuentran las firmas biométricas.
  • Basada en certificados. En cuyo caso se dan dos variantes:
    • Certificados no cualificados.
    • Certificados cualificados. En cuyo caso se dan dos variantes:
      • No basadas en dispositivos cualificados de creación de firma
      • Basadas en dispositivos cualificados de creación de firma. Esta es la firma cualificada.

Muchas normas dan valor jurídico a diferentes tipos de firmas avanzadas (no solo a las firmas cualificadas). Por ejemplo, la Ley 18/2011 da valor de forma expresa a la firma avanzada basada en certificado cualificado, y no basadas en un dispositivo cualificado de creación de firma:

Artículo 14. Formas de identificación y autenticación.

1. La Administración de Justicia admitirá, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en (la ley 18/2011 hacer referencia a la Ley 59/2003, de 19 de diciembre, de firma electrónica, pero en la actualidad sta refeencia debe entenderse en relación con el Reglamento UE 910/2014) y resulten adecuados para garantizar la identificación de los firmantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Sin perjuicio de lo dispuesto en los artículos 4 y 6 de la presente Ley y en todo caso, con sujeción estricta a lo dispuesto por las leyes procesales, los ciudadanos y profesionales del ámbito de la Justicia podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con la Administración de Justicia:

(…)

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

No olvidemos que el Artículo 25 del Reglamento UE 910/2014 define los efectos jurídicos de las firmas electrónicas

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Aunque la Ley 59/2003 ya no se considera de aplicación en sentido estricto, cabe mencionar una variante de firma electrónica definida en ella (en su artículo 3 apartado 10), que podria denominar «firma acordada»:

Cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.

PSEC: Prestadores de Servicios Electrónicos de Confianza Registrados en el marco de #eIdAS

Deja un comentario

La denominación «Prestador de Servicios Electrónicos de Confianza» (PSEC) creada al amparo del recientemente vigente Reglamento UE Nº 910/2014, deja obsoletas las denominaciones anteriores:

Los nuevos Prestadores de Servicios Electrónicos de Confianza se clasifican en tres niveles:

  1. Servicios cualificados electrónicos de confianza, registrados en el registro de PSEC de la SETSI (no pueden existir servicios electrónicos de confianza cualificados no registrados).
  2. Servicios electrónicos de confianza no cualificados, registrados en el registro de PSEC de la SETSI.
  3. Servicios electrónicos de confianza no cualificados y no registrados en el registro de PSEC de la SETSI.

Los Prestadores Cualificados de Servicios Electrónicos de Confianza  son supervisados por los Organismos de Supervisión.  En España, el organismo de supervisión es la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), del Ministerio de Industria, Energía y Turismo (Minetur).

Los prestadores cualificados de servicios electrónicos de confianza deben ser auditados, al menos cada 24 meses, por un organismo de evaluación de conformidad (Conformity Assessment Body). La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

Los prestadores cualificados de servicios electrónicos de confianza deben enviar el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.

Los Prestadores de Servicios Electrónicos de Confianza Registrados  suponen una categoría especial en cuanto a la supervisión de los servicios por la SETSI, ya que que prestan o bien  servicios que no tienen la condición de servicio de confianza cualificado, o bien servicios que no encajan en las definiciones de servicio de confianza según el Reglamento (UE) 910/2014.

Por la cualidad de servicios Notificados a la SETSI (y por tanto, incluidos en el Registro de Prestadores), su información se  publica en la página web del Ministerio de Industria, Energía y Turismo, aunque el Ministerio de Industria, Energía y Turismo no comprueba la alineación de los correspondientes servicios a la legislación aplicable en materia de servicios de confianza antes de su publicación.

Los Prestadores Registrados pueden recibir apercibimientos y solicitudes de información de la SETSI, si esta recibe algún tipo de queja por parte de los usuarios de los servicios de confianza implicados.

Algunos servicios, como los de Digitalización Certificada, no suelen notificarse a la SETSI, por lo que cabría considerarlos como No Registrados, y por tanto, fuera del ámbito de actuación del organismo supervisor.

¿Qué puede pasar si un banco no comprueba la firma en una solicitud de trasferencia?

Deja un comentario

Puede pasar, por ejemplo, que el banco deba pagar 117.000 € a su cliente por no comprobar su firma en la solicitud de trasferencia, según se desprende de una sentencia del Tribunal Supremo en la que  condena a la entidad que recibió un fax con la firma falsificada del titular de la cuenta y siguió sus instrucciones de realizar una transferencia desde su cuenta sin hacer ninguna verificación de que la solictud procedía de su cliente.

La Sala Civil del Tribunal Supremo ha condenado a una entidad española a devolver 117.249,25 euros a un cliente por realizar una transferencia a su nombre sin comprobar la autenticidad de la firma del fax que recibió y en el que se ordenaba la operación. Alguien había imitado la firma en ese documento, pero la entidad no hizo las oportunas comprobaciones.

Ocurrió en diciembre de 2005 en una sucursal de la entidad en Madrid, donde se recibió un fax aparentemente suscrito por un cliente de esta sucursal ordenando una transferencia a favor de la sociedad Servicios Inmobiliarios R. por 117.000 euros.

El fax, sin membrete alguno, no aportaba datos de identificación del ordenante (número de pasaporte o de documento nacional de identidad). También contenía inexactitudes en el nombre del beneficiario y de su número de cuenta, que fueron corregidas por la propia entidad porque la sociedad inmobiliaria era también cliente suya.

Pese a todo, el banco realizó la operación, detrayendo la cantidad indicada en el fax de la cuenta corriente del cliente.

El Supremo ha condenado a la entidad financiera a devolver al cliente la cantidad transferida indebidamente, más los intereses legales, al considerar que no desplegó toda la diligencia profesional exigible a una entidad bancaria en sus deberes de gestión y custodia de una cuenta corriente. Para el tribunal, el banco debió al menos llamar por teléfono a su cliente para cerciorarse de la veracidad de la orden de transferencia.

En una sentencia de la que ha sido ponente Francisco Javier Orduña, la Sala subraya que, en este caso, la comprobación de la firma por parte del banco resultaba especialmente necesaria no sólo porque el Código de Comercio impone al comisionista el deber de consultar al comitente «en lo no previsto y prescrito expresamente», sino también por las circunstancias que se dieron. El banco sabía que el titular de la cuenta sólo efectuaba ingresos y no retiraba fondos; la transferencia fue ordenada por un medio no habitual, como es el fax, y presentaba «claras irregularidades» en el nombre del beneficiario y en su número de cuenta, además de no aportar los datos de identificación del ordenante.

El Supremo también ha tenido en cuenta que el contrato por el que se abrió la cuenta no contemplaba como medio de pago el fax.

El Juzgado de Primera Instancia dio la razón al cliente y sentenció que hubo negligencia por parte del banco. Él no consideró procedente practicar la prueba pericial caligráfica solicitada por el cliente al estimar que era imposible realizarla al tratarse de un fax del que sólo había copia.

El banco recurrió y la Audiencia Provincial de Madrid le dio la razón. El órgano de apelación consideró que la única forma de acreditar que la firma no correspondía al titular y que se había incumplido el contrato era haber practicado una pericial.

El cliente ha tenido que llegar hasta la Sala Civil del Tribunal Supremo para logar la devolución del dinero. El Supremo concluye que la Audiencia hacía recaer en él, indebidamente, la carga de probar la falsedad de la firma inserta en el fax.

La sentencia indica que es incorrecta y desproporcionada la imputación al cliente de los efectos negativos de la falta de la prueba, ya que él no tenía ninguna oportunidad de disponer y facilitar la prueba: aunque solicitó la pericial caligráfica, no tenía el original que era necesario para practicarla con garantías.

WISeKey adquiere el negocio de circuitos integrados para Internet de las cosas (IoT) de INSIDE Secure

Deja un comentario

WISeKey International Holding Ltd (“WISeKey”, con código de cotización bursátil SIX: WIHN), empresa líder en ciberseguridad anunció el pasado de 19 de mayo de 2016 su intención de adquirir el negocio de soluciones de semiconductores y circuitos integrados seguros para la Internet de las Cosas (Internet of Things, IoT) de INSIDE Secure (con código de cotización bursátil en Euronext Paris: INSD), líder en soluciones de seguridad incorporadas para dispositivos móviles y conectados.

La adquisición pretendida y la integración tecnológica creará la primera plataforma de ciberseguridad integral de confianza de extremo a extremo para personas y objetos (IoT). La oferta de ciberseguridad de WISeKey incluirá certificación basada en hardware y software, acreditación de sistemas, e incluso provisión de servicios gestionados.

El alcance de la transacción incluirá la transferencia de productos, tecnología, acuerdos con clientes y ciertas patentes. Más específicamente, incluirá la transferencia de activos relacionados con el desarrollo y la venta de circuitos integrados de seguridad para un mercado en rápido crecimiento como es el de la IoT y un equipo completo de Investigación y Desarrollo, Comercialización y Soporte. Las actividades de INSIDE Secure que se adquirirán para la IoT, soluciones contra la falsificación y protección de marcas, tarjetas de pago EMV y acceso seguro generó ingresos pro-forma (no auditados) por un valor de USD 33,6 millones en 2015. Se brindarán soluciones y soporte constantes a los clientes existentes de INSIDE Secure para los proyectos actuales y nuevos productos en desarrollo para asegurar al cliente una transición sin problemas.

Al cierre, WISeKey pagará una contraprestación en efectivo de CHF 2.000.000 (suma neta del efectivo transferido) y emitirá un bono de préstamos convertible en Acciones Clase B WISeKey por la suma de CHF 11.000.000. El bono de préstamo convertible tendrá un vencimiento de 9 meses, un cupón de 2% y se podrá convertir a opción de INSIDE Secure, después de un periodo de fidelización de 2 meses, en acciones Clase B WISeKey libremente comerciables. WISeKey tiene el derecho de canjear el bono de préstamo convertible, e INSIDE Secure puede solicitar el canje en efectivo por hasta 30 % del monto principal del bono de préstamo convertible.

Se espera que la ejecución de la acción y el acuerdo de compra de acciones ocurra al finalizar el proceso de información y consulta habitual a los comités laborales de INSIDE Secure en Francia y, además, esto está sujeto a la firma y a las condiciones de cierre habituales. Se prevé que la firma y el cierre de la adquisición ocurran en el tercer trimestre de 2016.

Creación de la primera plataforma de ciberseguridad integral de confianza de principio a fin para personas y objetos

Gracias a las soluciones de WISeKey, los dispositivos de la IoT podrán organizarse en redes de confianza basadas en la autenticación, confidencialidad e integridad de las transacciones. Esta plataforma de ciberseguridad de confianza solo aceptará los dispositivos de IoT que puedan brindar una identidad reconocida y asegurar la integridad de las comunicarse con dispositivos que formen parte de la comunidad de confianza.

Los chips seguros de INSIDE Secure constituyen un almacén hardware seguro,que albergarán la Raíz de Confianza (Root of Trust, RoT) criptográfica de WISeKey y los certificados digitales, con el nivel de certificación más alto para cifrar la comunicación y autenticar los dispositivos. Además, aprovecha la implementación masiva de la RoT de WISeKey que ahora está incorporada en más de 2,5 mil millones de dispositivos en todo el mundo que ya se benefician de estas capacidades criptográficas, permitiendo que pueda ser implementado en todo tipo de productos de la IoT.

Abordando el mercado en rápido crecimiento de la IoT

La capacidad de autenticar y manejar de forma remota millones de dispositivos y equipos en red y automatizados es ahora una necesidad generalizada −desde la planta de producción, pasando por la sala de cirugía de un hospital, hasta un centro residencial− todo, desde refrigeradores, relojes, objetos “ponibles”, hasta botellas de vino, se conectan y comunican a través de Internet.

Se espera que el mercado de la seguridad de la Internet de las Cosas crezca de $6,89 mil millones en 2015 a aproximadamente $29 mil millones hasta 2020, de acuerdo con un informe publicado por Markets and Markets, creciendo, por lo tanto, a una tasa anual de 35 % durante los próximos cinco años. Estos objetos masivamente implementados y conectados enfrentan ataques regulares, por lo tanto, generan una enorme demanda de soluciones de ciberseguridad de confianza, de principio a fin.

El Presidente y Director Ejecutivo de WISeKey, Carlos Moreira, comentó sobre la adquisición: «Con esta adquisición, los clientes pueden comprar soluciones de ciberseguridad de confianza de principio a fin en forma directa a WISeKey, integrando la personalización dentro de los Circuitos Integrados y con el más elevado nivel de certificación de seguridad. Como ejemplo, la RoT criptográfica de WISeKey combinada con la tecnología adquirida de INSIDE Secure permitirá a los dispositivos «de vestir» conectarse y realizar transacciones seguras, incluidos pagos on-line. La tecnología WISeKey permitirá que los dispositivos de la IoT sean autenticados con identidades digitales a través de una plataforma de confianza y/o de cadenas de bloques (blockchain) antes de acordar la comunicación. Creo que una plataforma de ciberseguridad de confianza de principio a fin permitirá un nivel óptimo de seguridad para desarrollar interacciones de manera segura en un mundo de personas y objetos conectados».

ACXIT Capital Partners actúa como asesor financiero exclusivo para WISeKey y McDermott and Homburger actúan como asesores legales de WISeKey en esta transacción.

Acerca de WISeKey

WISeKey (SIX Swiss Exchange: WIHN) es una empresa líder en ciberseguridad y fue seleccionada como Empresa de Crecimiento Mundial por el Foro Económico Mundial. En la actualidad, WISeKey implementa ecosistemas de identidad digital de la Internet de las Cosas (IoT) a gran escala y es pionera del movimiento de la «4ta Revolución Industrial» lanzado este año en el Foro Económico Mundial de Davos. La Raíz de la Confianza (Root of Trust, RoT) sirve como un punto de confianza común, reconocida por el sistema operativo y las aplicaciones, para asegurar la autenticidad, confidencialidad e integridad de las transacciones en línea. Con la RoT criptográfica incorporada en el dispositivo, los fabricantes de productos de la IoT pueden usar certificados digitales como un servicio para asegurar las interacciones entre los objetos y entre los objetos y las personas. WISeKey ha patentado este proceso en EE. UU. y, actualmente, es utilizado por muchos proveedores de la IoT.

Acerca de INSIDE Secure

INSIDE Secure (Euronext Paris: FR0010291245 / INSD) proporciona soluciones de seguridad incorporada integrales. Empresas líderes mundiales confían en la seguridad móvil de INSIDE Secure y en las ofertas de transacciones seguras para proteger activos críticos incluidos dispositivos conectados, contenido, servicios, identidad y transacciones. La pericia en seguridad inigualable combinada con una gama integral de IP, semiconductores, software y servicios asociados brinda a los clientes de INSIDE Secure una fuente única de soluciones avanzadas y protección superior para las inversiones. Para más información, visite www.insidesecure.com

Exención de responsabilidad:

Este artículo procede de la nota de prensa publicada por Wisekey, por lo que contiene de manera implícita o expresa ciertas declaraciones anticipadas sobre WISeKey International Holding Ltd y sus negocios. Tales declaraciones implican determinados riesgos conocidos y desconocidos, incertidumbres y otros factores, que podrían provocar que los resultados reales, la condición financiera, el desempeño o los logros de WISeKey International Holding Ltd sean materialmente diferentes de cualquier resultado futuro, desempeño o logro expresado o implicado en tales declaraciones anticipadas. WISeKey International Holding Ltd brindó esta comunicación el 19 de mayo de 2016 y no se compromete a actualizar ninguna declaración anticipada contenida en el presente debido a nueva información, eventos futuros o razones similares.

Dicho comunicado de prensa no constituye una oferta para vender, o una solicitud de oferta para comprar, cualesquiera valores, y no constituye un folleto informativo dentro del marco del significado del artículo 652a o el artículo 1156 del Código de Obligaciones de Suiza o un folleto de oferta pública dentro del marco del significado de las reglas de ofertas públicas de la Bolsa suiza SIX Swiss Exchange. Los inversores deben confiar en su propia evaluación de WISeKey y sus valores, incluidos los méritos y riesgos implicados. Nada de lo expresado en el presente es, o deberá ser considerado, una promesa o declaración sobre el desempeño futuro de WISeKey.

El texto original en el idioma fuente de la nota de prensa es la versión oficial autorizada y de la que podría derivar, en su caso, responsabilidades en tanto que anuncios de empresas cotizadas sometidas a la supervisión de una entidad reguladora.

Videocallcenter para identificación de clientes

Deja un comentario

EADTrust ha puesto en marcha un servicio de Video Call Center para verificación de identidad de clientes como sistema complementario de sus servicios de gestión de autenticación.

La plataforma está diseñada con un mecanismo de refuerzo de gestión biométrica y con la posibilidad de capturar por video o fotografía asistida la información de documentos de identidad.

De momento es un centro reducido con formación específica en verificación de identidad que pensamos que interesará también a entidades Fintech que quieran disponer de un mecanismo de contratación a distancia más económico que el necesario para la contratación presencial.

Estos días están siendo muy activos ya que nos están pidiendo que presentemos el servicio en diferentes entidades financieras y de dinero electrónico gracias a la repercusión que ha tenido en diferentes medios de comunicación la autorización del SEPBLAC para utilizar sistemas de videoconferencia en contextos en los que se aplica el mandato «Know your customer» asociado a la normativa de lucha contra el blanqueo de dinero.

El SEPBLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias) organismo encargado de luchar contra el blanqueo de capitales autoriza desde el pasado 1 de marzo los procedimientos de identificación no presencial de clientes mediante videoconferencia, un trámite que resulta clave para las iniciativas de entidades financieras que no cuentan con una red presencial de relación.

La autorización al uso de las videoconferencias encaja dentro del Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanquero de capitales y de la financiación del terrorismo.

En nuestro caso, estos procedimiento se refuerzan con el empleo de la biometría, con la extracción de información de imágenes de documentos de identidad y con el empleo de técnicas de preservación de evidencias digitales gracias a que en el proyecto hemos participado varios partners.

Root ECC para la Internet de las cosas (IoT)

1 respuesta

Desde el 5 de octubre de 2009 EADTrust ofrece una Jerarquía de Certificación (PKI Public Key Infraestructure) basada en certificados de curvas elípticas ESDSA. El certificado de la autoridad raíz ECC de EADTrust  solo ocupa 2K por lo que es especialmente adecuado para entornos de baja disponibilidad de memoria, sistemas embebidos y dispositivos orientados a la Internet de las cosas, y, entre ellos, dispositivos «de vestir».

En este tipo de criptografía, los certificados son más compactos y las firmas electrónicas, también, por lo que añadir seguridad a los dispositivos no es especialmente costoso, en términos de potencia computacional o memoria.

En el uso de certificados para la IoT es posible generar certificados y claves por miles y personalizar los dispositivos a través de un número de serie o un valor de MAC address, de forma que con posterioridad se puede añadir información adicional al número de serie, como tipo de dispositivo, tipo y versión de software y funcionalidades activadas, mediante funciones de consulta a una extensión mochila que puede ir firmada por el propio dispositivo y respaldada en la nube en un servidor de consulta para permitir funciones de cifrado.

Las posibilidades son muy amplias y el coste de los certificados muy reducido en las cantidades que se manejan en este tipo de proyectos.

Algunos dispositivos como el Atmel ATECC508A o el Atmel ATECC108A ya incluyen funcionalidades de criptografía de curvas elípticas (ECC, Elliptic Curve Cryptography) que se pueden integrar en cualquier proyecto y que inclue además protección de clave por hardware.

La  root ECC de EADTrust implementa ECDH P-256Los protocolos de intercambio de claves Diffie-Hellman de curva elíptica (ECDH) forman parte de la «Suite B» licenciada por la National Security Agency (NSA)  y se documentan en el Instituto nacional de estándares y tecnología (NISTSpecial Publication 800-56A Revision 2 

Los certificados que se firman mediante el algoritmo de firma Digital (ECDSA) de curva elíptica pueden utilizarse como método de autenticación. Los equipos identificados mediante un certificado pueden incluir este certificado en las negociaciones IPsec con un equipo remoto. El equipo remoto confirma criptográficamente que el propietario del certificado es el que se lo envió. La firma de certificados en ECDSA está documentada en la publicación de las normas de procesamiento de información federal FIPS 186-2

Dispositivos como beacons, sensores, sistemas de monitorización, sistemas de apertura y cierres, grabadores de parámetros, evaluadores de salud de entornos integrados o sensores de stress de seres vivos son algunos usos de estos dspositivos,

Seminario sobre Ley 39/2015 y Reglamento UE 910/2014

Deja un comentario

El 1 de julio de 2016 entra en vigor la parte más relevante del Reglamento UE 910 2014. Poco después, el 2 de octubre de 2016 entra en vigor una parte muy significativa de la Ley 39/2015 (hay también aspectos relevantes, de implantación más costosa que cuentan con un plazo mayor: 2 de octubre de 2018).

Sin embargo, a pesar de que muchos aspectos del Reglamento Europeo se han tenido en cuenta en la Ley de Procedimiento Administrativo Común de las Administraciones Públicas (PACAP), otros no.

Por ejemplo lo referido a la firma electrónica de las personas jurídicas y de las entidades sin personalidad jurídica.

Dado que el citado Reglamento tiene un nivel de precedencia normativa superior a la Ley, puede ser útil identificar los aspectos más controvertidos para afrontar de forma correcta la adaptación.

Este seminario, que imparto a través de Atenea Interactiva en formato de formación «in-company» especialmente orientada a entidades del sector público lo voy enriqueciendo gracias a las dudas y a las aportaciones de los asistentes.

Estos son algunos de los aspectos tratados:

  • Identificación y autenticación. Nuevo contexto para trámites sin uso de la firma electrónica.
  • Interoperabilidad de la firma electrónica a nivel europeo.
  • Nuevas normas técnicas de identificación, firma electrónica, sello electrónico y otros servicios de confianza digital
  • Interacción con otras normas: Ley 18/2001, Ley 40/2015, Real Decreto Legislativo 3/2011.
  • Obligados. Nuevas obligaciones para personas jurídicas y ciertos colectivos profesionales.
  • Novedades en relación con el cómputo de plazos, y efecto en los plazos del Registro electrónico
  • Asistencia en el uso de medios electrónicos. Funcionarios habilitados
  • Uso de códigos seguros de veriicación. Sugerencia sobre CSV con informaicón de encaminamiento.
  • Sedes electrónicas y portales. Nuevo enfoque hacia la concentración de servicios en portales.
  • Copia auténtica de documentos y digitalización certificada. Gestión híbrida. Funcionarios habilitados
  • Archvo unificado
  • Poderes y representación. Nuevo poder «apud acta» electrónico. Retos para gestión de otorgamiento y revocación de poderes. Ideas para la implementación del registro elecrónico de poderes de representación. Otorgantes (representados) y apoderados (representantes).
  • Notificaciones. Retos de la notificación electrónica. Notificaciones por publicación en BOE.
  • Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad.
  • Herramientas disponibles en el marco de la transferencia electrónica entre administraciones. Cl@ve, DIR3, DNIe 3.0 (NFC).
  • Nuevos retos: firma digtalizada, digitalización certificada, cotejo interoperable de documento en base a  CSV en sede electrónica diferente de la que lo expidió.

Pueden contactar con Atenea Interactiva en el 917160555 si desean que este seminario se imparta en su institución. Se imparte en una sola jornada, de 9:00 a 14:30. Preferiblemente los viernes.

 

 

Las claves de la transformación digital

Deja un comentario

Estoy escribiendo el libro sobre las claves de la transformación digital.

En estos momentos el término se ha acuñado y se ha adoptado por diferentes profesionales digitales, pero significa cosas distintas para distintas personas, y cada una lo intepreta desde su experiencia y conocimientos.

Es inevitable y tampoco yo me libraré seguramente de imponer mi sesgo al concepto, aquí adelanto algunas reflexiones:

El concepto de tranformación digital surge de la necesidad de interpretar los signos de la sociedad actual y prever tendencias respecto al comportamiento de los ciudadanos, de los compradores. de los proveedores y de los empleados de las sociedades y de las relaciones de las empresas con todos esos interesados (stakeholders por su denominación anglosajona) y con otras influencias de contexto de desarrollo de los negocios: entidades de gestión de pagos de impuestos, cotizaciones sociales, gestión de controvesias (de tipo societario, mercantil, civil, social, contencioso administrativo,…).

La transformación digital resume el impulso de las entidades de todo tipo para organizarse de modo que los tecnologías de la información y las comunicaciones se adopten internamente por sus empleados y externamente con las personas, empresas y entidades diversas con las que se relacionan.

El contexto que da origen a los signos de la sociedad actual está marcado por estas tendencias:

  • Globalización
  • Inmediatez del acceso a la información
  • Ubicuidad del acceso a los medios de trabajo y ocio digitales
  • Disponibilidad de medios tecnológicos a costes muy bajos
  • Autoformación de los usuarios en ámbitos tecnologícos de su interés, en contextos colaborativos y de asistencia mutua
  • Establecimiento de vínculos de comunicación interpersonales potenciados por medios tecnológicos

La sociedad adopta medios tecnológicos con rapidez y según el momento se popularizan unos u otros conceptos que acaban impregnando el lenguaje de los ciudadanos y de los profesionales a todos los niveles y marcan las estrategias de las empresas:

  • Portales
  • Computación en la nube
  • Big data
  • Terminales inteligentes ultraconectados (teléfonos, tabletas, ordenadores personales)
  • Producción ublicua de contenidos  digitales multiformato, por «prosumidores» que los producen y consumen.
  • Buscadores y metabuscadores que determinan la relevancia y la reputación.

El contexto, los medios tecnológicos, la presión de costes, las expectativas de empleados,clientes y proveedores acaba imponiendo una visión:

¿cómo se debe organizar una empresa para aprovechar mejor los recursos humanos y técnicos y ser más competitiva, más creativa, más veloz, más innovadora, más cercana, más interactiva, proporcionando mejores productos y servicios con mejores precios que los de la competencia?

La respuesta está en el uso de la tecnología y el empoderamiento de los empleados como uno de los instrumentos para atraer y retener el talento.

La tecnología y el ingenio de empleados y directivos mejora la gestión de los recursos humanos, el diseño de los productos y de los servicios, la creaión de nuevos productos y servicios, la entrega de los productos y servicios, el marketing, las ventas, el cobro, la facturación, el servicio postventa.

Prácticamente todo se puede realizar, impulsar, potenciar tecnológicamente. En algún rincón de la organización van quedando los archivos de documentos en papel como el último vestigio de la sociedad finisecular del siglo XX para tratar las controversias que no puedan ser resueltas con medios digitales. Los documentos con valor probatorio frente a Hacienda, frente a la Seguridad Social o para poder lidiar, si se da el caso con demandas judiciales de diverso tipo.

Pero esa «última milla» en papel que se resiste a la digitalización, también puede ser «desmaterializada». La despapelización, cambia las facturas y los contratos por documentos digitales firmados electrónicamente. Los documentos de control de gestión, por evidencias electrónicas. Las notificaciones postales y los burofaxes por notificaciones digitales.

Ya estamos preparados para que la transformación digital sea total.

Si quieres saber como acabar con los útimos papeles que quedan en tu organización, contacta con nosotros y te diremos qué medios digitales existen  a disposición de tu entidad para mantener el valor probatorio que necesitas sin recurrir a los papeles.

Llama a EADTrust al +34 91 7160555.

 

Objetivos de modernización de la Justicia en los Presupuestos Generales de 2016

Deja un comentario

El Proyecto Presupuestos Generales del Estado 2016 en su sección destinada al Ministerio de Justicia desgrana los objetivos de este Ministerio para 2016, entre los que se encuentra la digitalización de la Administración de Justicia.

DESCRIPCIÓN GENERAL DE LOS OBJETIVOS DEL SECTOR

La concepción del Estado de Derecho, en lo que a Justicia se refiere, se asienta en el respeto al principio de separación de poderes que establece la Constitución y en el convencimiento de que la justicia en España se administra en nombre del Rey por jueces y magistrados inamovibles, responsables y sometidos únicamente al imperio de la ley e integrantes de un poder judicial independiente.

El Estado social y democrático de derecho, que propugna como valores superiores la igualdad y la justicia, además de la libertad y el pluralismo político, define su naturaleza social en el ámbito del Estado del bienestar, teniendo en cuenta que estos valores han de estar siempre presentes en nuestra sociedad como modelo de convivencia y responsabilizando a los poderes públicos de su protección y promoción.

El ejercicio de los derechos y libertades de los ciudadanos hace necesario disponer de un sistema de resolución de conflictos rápido, ágil y efectivo. Para que la justicia sea un resorte potente al servicio de los ciudadanos tiene que ser ágil, eficaz y que resuelva los conflictos utilizando los medios instrumentales que ofrece el siglo XXI, impidiendo que el acceso a la justicia sea un camino de laberintos administrativos, procesales o normativos, y sea percibida como un obstáculo para la satisfacción de las legítimas demandas.

Este conjunto de valores y el ejercicio de los derechos y libertades de los ciudadanos que ampara y defiende el sistema de justicia debe asentarse en el diálogo permanente con los grupos políticos, instituciones públicas, profesionales y operadores jurídicos en defensa de los intereses generales, como instrumento para la resolución de las discrepancias y porque la experiencia demuestra que cuando se producen acuerdos los resultados son más beneficiosos para la justicia y para el conjunto de la sociedad.

El ejercicio de estas obligaciones se materializa en la constatación de que la sociedad nos exige transformar los diferentes ámbitos de actuación de las políticas públicas con un objetivo claramente definido: dotarnos de mayor eficacia para que podamos competir en un mundo globalizado e integrarnos con fuerza dentro de las instituciones europeas.

La reforma de la justicia orientada hacia lo que podemos considerar como la legitimidad de la eficacia, que determina en gran parte la aceptación o rechazo de las instituciones por los ciudadanos, es un objetivo prioritario de la acción del Gobierno y del Ministerio de Justicia. Este reto de interés general afecta no solo al buen funcionamiento y mayor eficacia de un servicio público esencial, sino también a la calidad del sistema democrático, al bienestar social, a la garantía de los derechos y libertades de los ciudadanos y al sometimiento de todos los poderes al ordenamiento jurídico.

Solucionar las deficiencias intrínsecas de carácter estructural y que en estos momentos impiden identificar a la Administración de Justicia como un eficaz y eficiente servicio básico del Estado, nos ayudará a conseguir una sociedad avanzada, moderna y competitiva.

Siguiendo esta nueva orientación de cambios estructurales en el ámbito de la Administración de Justicia, las líneas de actuación que enmarcan los objetivos y actividades de la Sección 13 van asociados a la justicia como servicio público y a la justicia entendida como un poder del Estado y como elemento vertebrador de la sociedad.

En la primera línea de actuación, es de especial trascendencia la profesionalización de la carrera judicial, que se orienta a la consecución del objetivo de su ordenación a los principios de responsabilidad, autonomía e independencia, y a potenciar la promoción en la carrera a través de los principios de mérito y capacidad. Para avanzar en esta profesionalización se crearán las plazas necesarias para que los aspirantes que superen las pruebas selectivas y sean nombrados jueces puedan incorporarse a la carrera y a su destino efectivo. Para las nuevas promociones, la Administración de Justicia hará todo lo posible para que cuenten con todos los medios, materiales y organizativos, que les permitan desempeñar su carrera profesional de la manera más eficaz y más inmediata posible.

En relación con el Ministerio Fiscal, se dotará de los medios que permitan organizar las actividades de la Fiscalía en su lucha contra la corrupción, adscribiendo Fiscales a la Sala de Criminalidad Informática y a la cooperación penal internacional, haciendo posible la creación de Unidades de investigación en las Fiscalías para facilitar la tramitación de los procedimientos que tienen especial complejidad y dimensión. Se trata de configurar el Ministerio Fiscal conforme a lo establecido en el artículo 124 de nuestra Constitución, que le reserva la labor de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley con sujeción a los principios de legalidad e imparcialidad.

En cuanto a los letrados de la Administración de Justicia (actual denominación de los anteriormente llamados Secretarios Judiciales), pieza clave para el buen funcionamiento de la Oficina Judicial, se potenciarán sus funciones como directores de la nueva Oficina Judicial, además de las relativas al impulso y ordenación de los procesos y las que les corresponden como titulares de la fe pública judicial.

Por lo que respecta a los funcionarios de la Administración de Justicia, se revisarán sus funciones y se definirán sus actividades para mejorar la estructura organizativa y el buen funcionamiento de la Oficina Judicial mediante la cualificación y el desempeño de estos profesionales.

Estas medidas de carácter instrumental que afectan a los profesionales de la justicia suponen una mayor implicación de estos profesionales, que repercutirá en la mejora de las condiciones de trabajo, de tal forma que toda la actividad de la Oficina Judicial se pueda producir de forma coordinada y responder al objetivo primordial de resolver los conflictos y las demandas planteadas.

A estos mismos efectos, es necesario contar con todos los operadores jurídicos, especialmente, con los abogados y procuradores y graduados sociales, que igual que otros colectivos contribuyen al mantenimiento de la calidad de nuestro sistema jurídico.

Dentro de esta línea de actuación, se seguirá avanzando en una de las grandes instituciones que caracteriza y dignifica nuestro sistema de justicia, como es la asistencia jurídica gratuita. Ningún ciudadano por razones estrictamente económicas se puede quedar sin su derecho a la tutela judicial efectiva. Se buscará la cooperación de las Comunidades Autónomas, los grupos parlamentarios y los operadores jurídicos, para asegurar más cada día la calidad del funcionamiento de este servicio básico.

Otra de las actuaciones va a incidir en la estructura de funcionamiento de los Registros Civiles. Se continuará con el proceso abordado por la Ley 20/2011, del Registro Civil, sobre la desjudialización de los Registros Civiles. En este sentido, cabe mencionar la tramitación electrónica desde los centros sanitarios tanto de las defunciones como de los nacimientos. Se trata de incorporar un trámite electrónico habitual en tantos ámbitos de la sociedad española y de las administraciones públicas.

Todos estos planteamientos de mejora, de agilización y de cercanía repercuten también directamente en la generación de confianza hacia los agentes económicos. El buen funcionamiento de la justicia tiene un papel dinamizador en la economía de nuestro país. La creación de entornos de seguridad y de agilidad procesal tiene un gran impacto en el crecimiento económico, ya que éste se sustenta en el pilar del Estado de Derecho, que ofrece la seguridad jurídica necesaria para que los recursos productivos puedan crear riqueza y puestos de trabajo.

En el ámbito de las reformas legislativas, se actuará con la finalidad de crear marcos de garantías de derecho, de funcionamiento de la administración de justicia y del mismo funcionamiento de la sociedad civil en el entorno de un estado de derecho y con garantías. Se potenciará la Comisión General de Codificación, órgano de una extraordinaria calidad de la que dispone nuestro sistema jurídico. Se reactivarán determinadas Secciones inoperativas en los últimos ejercicios para intensificar la labor de elaboración de los futuros proyectos normativos.

Se agilizará la resolución de conflictos en el ámbito mercantil y civil mediante la potenciación de los instrumentos del arbitraje para promover soluciones fuera del ámbito puramente jurisdiccional de los conflictos. Asimismo, se van a apoyar todas las medidas para que la mediación se convierta en una práctica habitual y cotidiana entre los operadores, tanto personas físicas como jurídicas. También con la implantación de la jurisdicción voluntaria se va a producir un avance sustancial en el proceso de modernización del sistema de justicia, en cuanto que abre aspectos que no son puramente jurisdiccionales a los operadores jurídicos. Sin menoscabo alguno de la tutela judicial efectiva y del papel de los Tribunales en aquellos casos que por su complejidad o por su naturaleza así lo requieran, se facilitará a los ciudadanos la tramitación y la resolución de numerosos expedientes que afectan directamente a sus derechos tanto de la esfera personal como patrimonial, con una clara delimitación de aquellos casos en que los intereses o la naturaleza de los asuntos y la mejor tutela de los ciudadanos exija la intervención de los tribunales.

En esta misma línea de actuación uno de los objetivos primordiales es la implantación de la administración electrónica en el ámbito de la Justicia. Se trata de que las relaciones entre los profesionales de la justicia, -jueces, fiscales, letrados y personal al servicio de la Administración de Justicia- y operadores jurídicos -abogados y procuradores y graduados sociales- los ciudadanos, tengan lugar por medios electrónicos, incorporando modelos de gestión que ya están vigentes en distintos ámbitos de la Administración del Estado. Para ello, se buscarán soluciones compartidas con las Comunidades Autónomas, que nos permitan avanzar en la incorporación de la administración electrónica a la administración de justicia.

Para hacer realidad este cambio de modelo, se continuará con el plan iniciado en el ejercicio 2015 para la aceleración de la justicia en entornos digitales. Los objetivos principales de este plan persiguen conseguir una justicia digital, abierta e innovadora.

Mediante la justicia digital se pretende avanzar en la digitalización de los procesos para disponer de servicios ágiles, simples y con “cero papel”, así como la implantación de las comunicaciones basadas en los dispositivos móviles, tanto para profesionales como para ciudadanos y en conectar a la justicia con otras administraciones relevantes en el proceso judicial.

En este ámbito se acometerán proyectos para que las comunicaciones entre la Administración de Justicia y otras administraciones, profesionales, operadores jurídicos, empresas y ciudadanos se realicen por canales electrónicos, consiguiendo una gestión procesal automatizada, sin papel, en todos los ordenes jurisdiccionales y todas las instancias en el ámbito competencial del Ministerio de Justicia. Asimismo, se implantará de forma generalizada el Expediente Judicial Electrónico y las comunicaciones telemáticas para dar traslado de un órgano judicial a otro, logrando la interoperabilidad semántica y técnica entre todos los sistemas de comunicación vigentes en los diferentes territorios. Para alcanzar la justicia sin papel, se producirá la evolución del sistema MINERVA, sistema de gestión procesal que soporta actualmente la tramitación de la información relativa a los procedimientos judiciales, que se potenciará conjuntamente con la integración e interoperabilidad con otros componentes, configurando una solución de gestión digital del Expediente Judicial tanto a nivel interno de gestión, como en relación con los agentes externos.

Respecto a LEXNET, sistema multiplataforma de intercambio seguro de información entre los órganos judiciales y operadores jurídicos, se priorizarán las actuaciones destinadas hacia un modelo digital de comunicación de los actos procesales que permita la incorporación de todos los profesionales y colectivos que se relacionan con la Administración de Justicia, así como la extensión a la jurisdicción penal. La implantación del sistema LEXNET y su integración con las aplicaciones de gestión procesal para los actos de comunicación de las sedes judiciales, permitirá la presentación telemática de los escritos por parte de los operadores jurídicos y dar un paso más hacia el Expediente Judicial Electrónico.

Entre los proyectos tecnológicos que se integran en la justicia digital, cabe destacar el de “Justicia en Red”, que pretende conseguir que todos los órganos judiciales puedan compartir entre sí y con otras Administraciones la información necesaria para desarrollar su labor con eficiencia y calidad. Es un objetivo prioritario el despliegue de aquellos sistemas de gestión, información y documentación que favorezcan la comunicación entre las distintas instancias y operadores jurídicos, impulsando las mejoras tecnológicas que garanticen la confidencialidad, la integridad y la disponibilidad de la información en los registros de apoyo a la administración judicial, la extensión del nuevo sistema de gestión de los Institutos de Medicina LegalORFILA– y el establecimiento de un marco de interoperabilidad seguro entre todas las instituciones forenses españolas.

Mediante “Justicia Abierta” se pretende impulsar una nueva relación con la sociedad en el entorno digital, orientando la actividad de la Justicia a los ciudadanos del siglo XXI con un enfoque de mayor proximidad, transparencia y apertura a la participación y la colaboración. Los proyectos que van a mejorar la transparencia y la accesibilidad de la información para ciudadanos y profesionales se agrupan en dos líneas de trabajo: “Justicia 24 horas”, que mejora el acceso de ciudadanos y profesionales a los servicios de la Administración de Justicia a través del Portal de la Administración de Justicia, que se convertirá en la herramienta de trabajo de los diferentes colectivos gracias al “Escritorio de Trabajo”, al tiempo que será la plataforma Web que proporcione acceso a la “Sede Judicial Electrónica”. La segunda línea de trabajo, denominada “Justicia móvil”, amplía los canales de relación con profesionales y ciudadanos permitiendo el envío de mensajes informativos y señalamientos a través de tecnología móvil.

La “Justicia Innovadora”, tiene por objeto fomentar una cultura de la innovación que sirva de motor en la búsqueda de la excelencia en el servicio público y en la gestión interna. Con esta finalidad, se continuará avanzando en la reforma del modelo organizativo a través del despliegue y consolidación de la Oficina Judicial y del nuevo modelo de Oficina Fiscal, avanzando en la integración del sistema de gestión procesal con las fiscalías.

Por otra parte, se emprenden iniciativas para vincular la Justicia a la innovación mediante la incorporación de herramientas de gestión compartidas del conocimiento y aprendizaje colaborativo, que permitan conectar el talento y el conocimiento de los profesionales de la Administración de Justicia a través del desarrollo y mejora de fondos documentales específicos.

En este mismo campo de la modernización tecnológica, se van a mejorar los servicios que el Ministerio presta a través del Portal y la Sede Electrónica, buscando aumentar su utilización por parte de la ciudadanía y un enfoque hacia los servicios más demandados. Se van a mejorar los servicios y aplicaciones informáticas mediante la implantación del aseguramiento de la calidad en nuevas fases del ciclo de vida del desarrollo de los proyectos. Se producirá el desarrollo evolutivo de la aplicación de autodetección de la configuración de los equipos utilizados por los ciudadanos para la realización de sus trámites en la Sede Electrónica del Departamento, como vía de reducción de las incidencias informáticas que les afectan. Se llevará a cabo una reingeniería de la aplicación de indultos para mejorar la informatización de la gestión, sobre todo en los intercambios con los juzgados y para hacer posible que las solicitudes y consultas se realicen desde la Sede Electrónica.

Otra consideración importante que incide en el servicio público al ciudadano es la protección de los derechos que se garantizan mediante las actuaciones de la Administración de Justicia, y especialmente a aquellos que por ser víctimas de un delito quedan en una situación de especial vulnerabilidad. Por ello, la implementación de medidas en el marco normativo recientemente aprobado recoge un amplio repertorio de acciones destinadas a amparar a aquellas personas que sufren las consecuencias de una acción que merece una sanción penal.

En la segunda línea de actuación que comprende el conjunto de proyectos asociados con el fortalecimiento de la justicia como poder del Estado, es preciso significar su función medular dentro del Estado de Derecho como un pilar vertebrador de nuestra sociedad, porque en última instancia la Justicia es el verdadero garante de la igualdad y de la libertad. El Estado de Derecho es el objetivo primordial de la tutela y la defensa por parte de todos los poderes públicos. Todos los recursos de que dispone el Ministerio se destinan a garantizar el Estado de Derecho mediante la permanente defensa del interés general que defiende la Fiscalía, con una Administración de Justicia que cumple y hace cumplir lo juzgado y con una Abogacía del Estado que protege el principio de legalidad en la actuación administrativa como garantía de los derechos de los ciudadanos y en armonía con la protección y defensa de los intereses generales.

En esta misma línea, se abordan las reformas de nuestra organización judicial manteniendo el actual modelo judicial en lo que se refiere a la vigente demarcación, siendo los partidos judiciales medios instrumentales que permiten prestar un servicio público de Justicia conforme a un criterio de máxima proximidad al ciudadano. Los partidos judiciales son, además, manifestación de la presencia del Poder Judicial en todo el territorio con la consiguiente garantía de que el imperio de la ley actúa por igual en todas partes. Esto no es óbice para que se introduzcan todas aquellas mejoras que sean necesarias para que la demarcación judicial pueda funcionar de forma eficaz en su tiempo de respuesta a los ciudadanos, y reorganizar las cargas de trabajo de nuestros órganos judiciales culminando, igualmente, el proceso de implantación de la Oficina Judicial en todos aquellos partidos judiciales en que se encuentre pendiente.

También es absolutamente necesario la dotación de medios e instrumentos para la lucha contra el delito, especialmente, en la lucha contra la corrupción y las redes organizadas. Respecto a los macroprocesos, los cambios legislativos van a imprimir agilidad y eficacia a las causas acabando con la sensación de retardo que genera el hecho de que procesos de gran repercusión social permanezcan abiertos durante años sin que en ese tiempo se puedan determinar y exigir responsabilidades penales.

En materia de cooperación jurídica internacional, es necesario avanzar en el establecimiento de mecanismos que nos permitan promover una estrecha cooperación entre las autoridades judiciales de los distintos países, tanto en el ámbito civil, como en el ámbito penal, y a su vez definir instrumentos jurídicos precisos para que esa cooperación se convierta en un cauce natural para todos los operadores jurídicos. También se continuará con las trasposiciones de directivas europeas con la tramitación de los correspondientes proyectos de ley, que permitan mantener el compromiso del Estado español en la trasposición de normas de la Unión Europea y ser socios leales con todos los países miembros de ella. Asimismo, se continuará coordinando la actuación de los diferentes actores públicos en proyectos de cooperación internacional para el desarrollo en el ámbito de la justicia.

Por lo que se refiere al objetivo de garantizar el derecho de libertad religiosa y de culto, se fomentarán las relaciones ordinarias con las confesiones y entidades religiosas acompañándoles en sus iniciativas y promoviendo relaciones de cercanía ante las necesidades y problemática que les afecte, reforzando el principio de cooperación institucional en las relaciones con las Iglesias, Confesiones, Comunidades religiosas y Federaciones de las mismas, así como la visibilidad internacional del modelo español de libertad religiosa mediante la participación en foros internacionales.

En la línea de acción que desarrolla las funciones de asistencia jurídica del Estado e Instituciones Públicas, en su doble faceta contenciosa y consultiva, la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado continuará con la llevanza de forma extraordinaria de los arbitrajes internacionales en los que el Estado español ha sido demandado. Para ejecutar los objetivos del Programa es conveniente destacar la incorporación en 2015 de 15 nuevos efectivos del Cuerpo de Abogados del Estado y de otras 25 nuevas incorporaciones para el ejercicio 2016.

Adopción de la norma ISO / IEC 29115: 2013 e ITU X.1254 en el marco del Reglamento UE 910/2014 #eIdAS – #eIdaTS

Deja un comentario

La norma ISO / IEC 29115: 2013 – Entity Authentication Assurance Framework es esencial para el cumplimiento de diversas disposiciones legales, en particular el  Reglamento Europeo UE 910/2014 como referencia a los niveles de garantía de la identificación electrónica (LoA Levels of Assurance), y como referencia para los niveles de garantía identificadas que marquen la evolución del sistema Cl@ve, cuyo funcionamiento se encuentra regulado por la Orden PRE/1838/2014, de 8 de octubre, por la que se publica el Acuerdo de Consejo de Ministros, de 19 de septiembre de 2014, por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.

Esta norma se deriva de la norma ITU X.1254 : Entity authentication assurance framework

El nivel de garantía (Level of Assurance LoA) al que hace mención esta Norma Internacional se refiere a la confianza que merecen los procesos, las actividades de gestión y tecnologías utilizados para establecer y gestionar de forma efectiva  la identidad de una entidad para su uso en las transacciones de autenticación.

La Norma Internacional ISO / IEC 29115: 2013 ofrece una guía fundamental para la gestión de la garantía de la autenticación de entidad en un contexto dado. En particular, se centra en los:

  • Cuatro niveles de garantía de la autenticación de la entidad;
  • Criterios y directrices para y el logro de cada uno de los cuatro niveles de garantía de la autenticación de la entidad;
  • Orientación para la correspondencia de otros sistemas de garantía de autenticación a los cuatro niveles de garantía especificados ;
  • Orientación para el intercambio de los resultados de autenticación que se basa en los cuatro niveles de garantía ;
  • Orientación en cuanto a los controles que se deben utilizar para mitigar las amenazas relativas a la autenticación.

Utilizando los cuatro niveles especificados de garantía (LoAs), el documento presenta las pautas relativas a las tecnologías de control, los procesos y las actividades de gestión, así como los criterios de garantía de que se deben utilizar para mitigar las amenazas relativas a la autenticación con el fin de poner en práctica los cuatro niveles de garantía.

También proporciona una idea sobre la forma en que se corresponden otros sistemas de garantía de autenticación con los cuatro niveles especificados  en la norma y orientas obre la forma de intercambiar resultados de una transacción de autenticación. Por último, esta Norma Internacional proporciona orientación informativa relativa a la protección de la información de identificación personal asociado con el proceso de autenticación.

La norma ISO / IEC 29115: 2013 ayuda a lograr:

  • Establecimiento el servicio
  • Cumplimiento Legal y Contractual
  • Disposiciones financieras
  • Gestión de la seguridad de la información y de auditoría
  • Componentes de servicios externos
  • Métricas de capacidades operativas

La norma se destina  principalmente a proveedores de servicios de credenciales (CSP-Credential Service Providers) y a quienes tengan interés en sus servicios, por ejemplo las partes que confian, asesores y auditores de esos servicios.

Los niveles son los siguientes:

  1. LoA 1 – Garantía Baja – Low – Little or no confidence in the asserted identity
  2. LoA 2 – Garantía Media – Medium – Some confidence in the asserted identity
  3. LoA 3 – Garantía Alta–  High – High confidence in the asserted identity
  4. LoA 4 – Garantía Muy alta – Very high – Very high confidence in the asserted identity

El impacto de los errores de autenticación seá mínimo, moderado, sustancial o alto según el LoA requerido.

El modelo actual de Cl@ve todavía no contempla la estructura de 4 niveles de aseguramiento o de garantía, pero deberá evolucionar de forma que, en el futuro, pueda ser notificado como sistema de identificación y autenticación a la Comisión Europea, según lo definido en el Regla,emto UE 910/2014. Una vez que se de ese paso, el sistema de gestión de identidades español deberá ser asumido por el resto de países de la Unión Europea.

En la actualidad, el uso de las claves concertadas y los servicios de firma en la nube del servicio Cl@ve requiere que los ciudadanos se registren previamente en el sistema, aportando los datos de carácter personal necesarios. Este registro puede hacerse de manera presencial o telemática.

El registro presencial, inicialmente está limitado, de modo que actuan como Oficinas de Registro únicamente la red de oficinas de la Agencia Estatal de Administración Tributaria y de las Entidades Gestoras y Servicios Comunes de la Seguridad Social. En el futuro, se podrá ampliar la red de Oficinas de Registro con aquellos organismos públicos que dispongan de despliegue territorial y cumplan los requisitos técnicos necesarios establecidos por la Resolución de 28 de septiembre de la Dirección de Tecnologías de la Información y las Comunicaciones, por la que se establecen las condiciones para actuar como oficina de registro presencial del sistema Cl@ve .

En su rol de «broker de identidades» el sistema Cl@ve deberá evolucionar para incorporar en el futuro, conforme se vayan integrando en el sistema de reconocimiento transfronterizo de identidades electrónicas previsto en la citada regulación europea, mecanismos de identificación de otros países de la Unión Europea.