Archivo de la categoría: Interlocución Telemática

Mesa redonda el 26 de noviembre de 2009

Deja un comentario

El 26 de noviembre de 2009, ASIMELEC organiza el III Congreso de Identidad Digital y DNI electrónico.

Un aspecto especial de este Congreso es la posibilidad de debatir en el marco de la comida sobre diferentes temas, de forma que los coordinadores de las diferentes mesas presentamos las conclusiones en la sesión de tarde.

El tema de la mesa que yo coordino es «La firma electrónica en el marco de las Leyes 11/2007, 30/2007 y 56/2007» . Os invito a incorporaros a esta mesa a aquellos a quienes interese el tema.  No sé ahora mismo el número previsto de contertulios para cada mesa, así que quienes estéis interesados, no lo dejéis para el último día, porque es posible que tenga que dejar a alguien fuera si hubiera muchas peticiones.

Actualización: Ya se ha apuntado el número suficiente de participantes. Gracias a todos, y perdonad los que no habéis llegado a tiempo.

Copia Constatable

13 respuestas

En el ámbito de la Administración Electrónica, especialmente en la adaptación a la Ley 11/2007, y de forma equivalente para el sector privado, en la puesta en marcha del sistema de Interlocución telemática de la Ley 56/2007, aparece el concepto de sede electrónica, punto en el que se puede comprobar la autenticidad de los documentos electrónicos expedidos o custodiados por una institución, cuando el usuario maneja una copia en papel.

La copia en papel de denomina «copia constatable» (aunque en alguna normativa se utiliza el término «copia auténtica», lo que sería más propio de otros contextos, como los de ámbito notarial).

Las copias constatables incluyen un código de comprobación, que se utiliza al acceder a la sede electrónica. La sede muestra el documento original (posiblemente un documento electrónico firmado electrónicamente, aunque no tiene por qué ser siempre así), y es posible cotejar el contenido y ciertos aspectos formales del documento electrónico, y ver ciertos metadatos relacionados con la completitud, contrastando con la copia.

El código de comprobación puede recibir diferentes nombres: localizador, CVE – Código de Verificación Electrónica, CSV – Código Seguro de Verificación.

Características de zBackTrust

6 respuestas

La firma electrónica es parte de los requisitos que tienen que cumplir entidades financieras y aseguradoras (junto con otras entidades «de especial relevancia económica») para implementar su sistema de interlocución telemática según se dicta en el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. También forma parte de la Sede Electrónica, el Registro Telemático y los sistemas de publicación y notificación fehaciente que todos los organismo de la administración pública deben implementar como consecuencia de la aplicación de las Leyes  30/2007, de 30 de octubre, de Contratos del Sector Público y 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

En las instituciones que cuentan con equipos System z, la solución de firma electrónica de elección es zBackTrust, conjunto de módulos de firma electrónica diseñado por Albalia Interactiva para los equipos de IBM y comercializado conjuntamente con INSA.

El módulo principal es un servicio Web basado en el estándar OASIS DSS (Digital Signature Service) que se instala de forma centralizada y que ofrece funcionalidades de Firma Electrónica Remota, Verificación y Ampliación de Firmas XAdES-XL a toda la organización. Dispone de funcionalidades de firma electrónica de PDFs y está disponible también en forma de API.

Estas son algunas de las características de zBackTrust:

  • Celeridad en los procesos de generación y comprobación de Firmas electrónicas a través de API y DSS (Digital Signature Service).
  • Generación de firmas completas XAdES – XL
  • Validación de certificados y firmas electrónicas (permite comprobar los certificados de cualquier prestador de servicios de certificación)
  • Generación de evidencias electrónicas para la custodia digital de documentos electrónicos firmados
  • Compatible con el procesador criptográfico (HSM) IBM 4764
  • Compatible con diferentes Middleware: WebSphere, Weblogic y Tomcat.
  • Entornos z/OS y z/Linux
  • Cumplimiento de estándares de ETSI y OASIS.

Ventajas de la Solución

  • Indenpendiza los servicios de seguridad y confianza de los procesos de negocio, al disponer de una infraestructura común de firma electrónica para todas las aplicaciones en las que se requiere integrar dichas funcionalidades.
  • Garantiza el crecimiento del sistema con nuevas funcionalidades, sin que afecte al desarrollo del resto de aplicaciones.
  • Minimiza los costes de desarrollo y mantenimiento, evitando la programación de código común en múltiples aplicaciones y plataformas.
  • Garantiza la capacidad de aceptar certificados de cualquier prestador de servicios de certificación europeo.
  • Permite cumplir con la normativa reciente:
    • Factura electrónica (Orden PRE/2971/2007)
    • Contratación Pública (Ley 30/2007)
    • Administración Electrónica (Ley 11/2007)
    • Interlocución Telemática (Ley 56/2007)
    • Directiva 1999/93/CE

Otros artículos relacionados:

zBackTrust, firma electrónica para System Z

10 respuestas

Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

Referencias:

Interoperabilidad de los Prestadores de Servicios de Certificación

8 respuestas

En pasados artículos he hecho referencia a que un cumplimiento diligente de la Directiva 199/93/CE de firma electrónica implicaba la aceptación de los certificados reconocidos (o cualificados) de todos los prestadores de servicios de certificación europeos.

Este punto de vista ha quedado recogido, por ejemplo en la Orden EHA/962/2007, pero hay quien piensa que la Ley 11/2007 y el Esquema Nacional de Interoperabilidad dejan margen para que un organismo concreto pueda establecer criterios propios de aceptación.

Debe aclararse que «los criterios propios» de aceptación solo son de aplicación a las firmas avanzadas, y que el criterio general es que las firmas avanzadas basadas en un certificado reconocido (es decir, cualificado), o en un certificado en cuya política se han utilizado mecanismos de verificación de identidad del firmante presenciales o equivalentes a presenciales, tienen un nivel de aceptación próximo al de las firmas reconocidas o cualificadas.

Sin embargo para facilitar la interoperabilidad de las firmas electrónicas en el marco europeo, hay algunos detalles que conviene tener en cuenta:

  1. Las URL de la CRL y del OCSP del prestador deben estar correctamente codificados en todos sus certificados (extensión AIA).
  2. El servicio OCSP, o, al menos el de CRL, de los prestadores válidos (los que figuran en la TSL) han de estar accesibles sin coste
  3. La información de URL de la Root, de la CPS, de los servicios OCSP y CRL de cada prestador de servicios de certificación deben estar codificados en las TSL de cada estado (que en España corresponde al MITyC, no al MAP) y en la TSL armonizada.
  4. Siempre que el destinatario de una firma sea una entidad privada, la firma electrónica debería construirse con arreglo a las especificaciones XAdES-XL o CAdES-XL (respectivamente descritas en las normas TS 101 903 y TS 101 733). En general, este tipo de firma debería ser de elección en todos los casos. Las administraciones públicas que generen firmas siempre deberían hacerlo con estos formatos (ya que eliminan la carga de la verificación de validez del certificado al receptor)

Es necesario contar con una lista actualizada de prestadores europeos, que debería ser posible obtener a partir del sistema de notificación del artículo 11 de la directiva 1999/93/CE. La información de cada prestador debería contener, además de la URL de la home page, su dirección, email y teléfono (lo que más o menos ya se recoge hoy en día) junto con las URL de la Root, de la CPS, de los servicios OCSP y de la CRL de sus CAs (lo que es esencial para la interoperabilidad, pero resulta difícil de encontrar en la página web del prestador en el sistema actual) .

Es necesario que los sistemas nacionales de supervisión que notifican el estado de gestión de los sistemas de certificación de su pais a la Comisión Europea recojan los datos mencionados en sus repositorios. En España, esta responsabilidad corresponde al MITyC, según se establece en la Ley 59/2003.

Conviene poner en valor los Sistemas Voluntarios de Acreditación, como el de ASIMELEC.

Y es conveniente ir eliminando mecanismos alternativos de verificación de validez de certificados como los definidos en la orden EHA/1181/2003 que tuvieron su razón de ser antes de la publicación de la Ley 59/2003, pero no tienen sentido en el actual marco legislativo. El repositorio de la AEAT ya solo tendría sentido en el marco de la normativa de factura electrónica. En su momento supuso un gran empuje a los prestadores de servicios de certificación españoles, pero en la actualidad supone  un ejemplo mal copiado por muchos organismos públicos que crean sus propias listas de prestadores de servicios de certificación sin ser conscientes con que basta con remitirse a la lista del MITyC.

El problema de censar a los prestadores de servicios de certificación, que NUNCA debería ser un problema del tercero que confía, se está convirtiendo en uno de los frenos al desarrollo de la firma electrónica. Y hubiera sido algo muy sencillo de desarrollar si se hubiera aplicado correctamente el artículo 11 de la directiva 1999/93/CE. Es decir, si los datos antes indicados (URL de la Root, de la CPS, de los servicios OCSP y de la CRL de las CAs de cada pais) se hubieran recogido correctamente desde el principio, y el comité del artículo 9 hubiera sido más proactivo.

Por esta ineficiencia de la Comisión ha sido necesario gastar cientos de miles de euros en proyectos de interoperabilidad cuyos resultados están por ver, y se han creado malas costumbres que se tardará años en erradicar.

Otros artículos relacionados:

Primeros programas de «Tiempo de Emprendedores»

1 respuesta

Ya se han difundido los primeros programas de «Tiempo de Emprendedores», de Radio Lider en los que colabora Albalia Interactiva, junto con Caixa Galicia y la Cámara de Comercio de A Coruña.

Firma electrónica con OASIS DSS

10 respuestas

La especificación DSS (Digital Signature Services) alcanzó el nivel de Standard de OASIS en junio de 2007, en su versión 1.0.

Esta especificación simplifica la gestión de las firmas electrónicas en las organizaciones, permitiendo la definición de modelos de gestión centrados en servidores que se alinean con las arquitecturas de sistemas más avanzadas. Las claves privadas se pueden gestionar de forma segura en entornos centralizados y puede evitarse la dispersión de material criptográfico en los ordenadores individuales de los usuarios, robusteciendo la política de seguridad mientras se saca partido a las múltiples funcionalidades de la firma electrónica.

DSS describe dos protocolos de tipo petición/respuesta basados en XML, uno para generar firmas electrónicas  y otro para verificarlas. Al usar estos protocolos, un cliente puede enviar documentos al servidor y obtener el documento firmado electrónicamente, o enviar un documento firmado al servidor y obtener los datos de la comprobación de la firma electrónica.

DSS da cobertura a diferentes tipos de firmas electrónicas, como las basadas en XML y CMS. Se desarrolla sobre un núcleo de elementos y procedimientos que pueden perfilarse para proporcionar determinadas funciones como time-stamping (incluyendo los basados en XML), validaciones de vigencia de certificados de múltiples prestadores de servicios de certificación, sellos corporativos, sellos de sede electrónica, marcas de notificación o publicación fehaciente, o firma de código ejecutable.

El estándar DSS de OASIS se desarrolló gracias al esfuerzo de reprerentantes de la American Bar Association, Cancillería Federal de Austria, BEA Systems, CATCert-Agencia Catalana de Certificacio, IBM, Nokia, Universal Postal Union, y otros.

Albalia Interactiva ha desarrollado una de las pocas implementaciones que existen en el mundo de este protocolo, que está destinado a convertirse en el estándar internacional más adoptado, como lo demuestra, por ejemplo, su inclusión en Peppol (Pan European Public Procurement Online).

Los servicios DSS forman parte de la suite de productos BackTrust con implementaciones nativas en todas las plataformas (por ejemplo, aquí incluyo nuestro folleto Albalia BackTrust DSS for Windows Servers). También forman parte de los servicios de EADTrust .EADTrust, European Agency of Digital Trust, es una empresa de reciente creación, surgida como spin-off de Albalia, y que comercializa diversos servicios de eConfianza. Algunos de estos servicios ya se anunciaron por parte de Albalia hace algún tiempo.

Entre los servicios disponibles están los de generar y comprobar firmas electrónicas basadas en XAdES y en PDF. Las opciones más avanzadas (denominadas firmas completas o AdES-XL) facilitan la custodia digital, y deberían ser generadas en origen para facilitar su comprobación al tercero que confía en los certificados.

Estos servicios representan la posibilidad de que el sector privado pueda disfrutar de servicios equivalentes a los que proporciona la herramienta @firma del MAP y de la Junta de Andalucía, o PSIS (Plataforma de Servicios de Identificación y firma) de CatCert en el sector público, pero actualizados a las versiones más recientes de los estándares técnicos. También en muchos organismos del ámbito público pueden preferir el uso de EADTrust al de @firma, dependiendo de cuales sean sus necesidades en relación con la firma electrónica.

Aportaciones tecnológicas de Adobe a la banca española en las jornadas organizadas por Financial Tech Magazine

Deja un comentario

Via CMS-Spain.

Este es un resumen del evento que tuvo lugar el pasado 20 de mayo de 2009.

Con la crisis, la banca ha de reorientarse hacia la satisfacción del cliente, no solamente a la reducción de costes. Uno de los principales retos a los que se debe enfrentar la banca a corto plazo es la actualización de los procesos de gestión documental

La banca ha de reorientarse hacia la satisfacción del cliente, no solamente a la reducción de costes. Esta fue una de las principales conclusiones extraídas de la jornada organizada por Financial Tech Magazine con el patrocinio de Adobe Systems, que bajo el título ‘Un nuevo entorno tecnológico para la banca comercial’, abordó el nuevo escenario normativo y tecnológico al que se enfrenta el sector financiero en plena crisis.

Julián Inza, presidente de Albalia Interactiva, fue el primero en resaltar dos de los puntos más fundamentales: por un lado, el hecho de que “España ha sido el primer país del mundo en legislar la digitalización certificada”, y por otro, cómo desde el 1 de enero del presente año “las entidades financieras están incumpliendo con la Ley 56/2007, en virtud de la cual están obligadas a disponer de medios de interlocución telemática con sus clientes”.
 
La explicación a este incumplimiento no se debe a que no existan medios tecnológicos para llevarlo a cabo, puesto que como apuntó Inza, los avances en materia de documentos electrónicos han sido extraordinarios en los últimos años, hasta el punto de que “ya es posible destruir el papel y contar sólo con documentos escaneados –digitalizados-, con firma electrónica embebida, en el caso de las facturas o de los documentos tributarios”. Así, este incumplimiento –tras el cual, la Administración aún no ha puesto en marcha un régimen sancionador-, se debe más bien al hecho de que “los procesos de gestión documental de la banca siguen a la antigua usanza”, precisó Inza, “dificultando la gestión de los archivos electrónicos”. Este será, pues, uno de los primeros retos a los que habrá de enfrentarse la banca a corto plazo.
 
El escenario es propicio para ello, puesto que como señaló el presidente de Albalia Interactiva, “a pesar de que no existen equivalencias funcionales entre el mundo físico y el digital –en éste, el concepto de ‘original’ no existe-, contamos con un contexto de documento electrónico con los suficientes instrumentos para que  sirva como evidencia electrónica”. Incluso, en el caso específico de los contratos, es posible digitalizarlos: “tan sólo es necesario realizar una novación, comunicando la digitalización del documento a la otra parte y dando como resultado un nuevo contrato pero con idéntico contenido que el primero”.
 
Inza estructuró en tres los elementos básicos de infraestructura para una digitalización certificada: firma electrónica (cuyas mejores tecnologías son el PDF y el XML), la custodia (con carácter probatorio) y la conversión de documentos. En este último punto, XML es la tecnología más empleada, pero “presenta algunos problemas para su visionado que bien pueden resolverse mediante los formularios inteligentes de Adobe”, matizó el experto.
 
En su repaso normativo, Inza recorrió el amplio conjunto de leyes promulgadas en 2007, con especial hincapié en la Ley 22/2007, de contratación a distancia de servicios financieros, que contempla que el soporte sea duradero tanto para ofertas como para contratos y arroja peculiaridades como que el consumidor cuente con hasta 14 días para extinguir un contrato sin alegar motivos o que la carga de la prueba siempre tenga que recaer en la institución. Paralelamente, el experto criticó a los bancos, “que se preocupan más por ser menos vulnerables al phishing que sus competidores, pero en realidad no luchan por erradicarlo”.
 
La parte final de la jornada abordó directamente el escenario actual en que se encuentra la banca y cómo habrá de reorientarse para capear de un modo más óptimo la crisis. Oski Goldfryd, director de Financial Tech Magazine, expuso algunas de las conclusiones del estudio de Datamonitor sobre la situación de las tecnologías en la banca comercial, subrayando “la necesidad de recuperar la confianza perdida, reconstruir su imagen con un mayor foco de atención en el cliente y los procesos, no en los productos”. En este sentido, la tecnología pasa por ser el mejor aliado para conseguirlo.
 
Así lo corroboró también el director de Banca y Seguros de Adobe Systems, Ramón de la Fuente, que destacó “el papel fundamental que la tecnología de Adobe puede desempeñar en este cambio de paradigma, no sólo con su tecnología PDF –que ya no es estática, integra incluso flash, y es estándar ISO, sino con el resto de tecnologías como Livecycle para cubrir todo el espectro de gestión documental con complementos BPM, Adobe Air para llevar RIAs (Reach Internet Applications) al escritorio o, incluso, sus videoconferencias a través de Adobe Acrobat Connect Pro soportadas únicamente con flash, sin necesidad de instalar otro software”.
 
Precisamente esta tecnología es la que servirá para salvar el gap existente en la actualidad en lo que Goldfryd resumió con la sentencia “dejar de hablar de servicio al cliente y comenzar a realizarlo”, por parte de los bancos. El director de Financial Tech Magazine insistió en que “el cliente ahora sabe mucho más, exige más transparencia en las ofertas y conoce perfectamente lo que la tecnología le puede proporcionar, por lo que no está dispuesto, por ejemplo, a esperar dos días para que una transferencia se haga efectiva”.
 
Desde su óptica, “la Generación XY, de jóvenes familiarizados con la tecnología, espera nuevos enfoques,  con webs que aporten más valor añadido, no tan cuadriculadas, incursión en redes sociales –BBVA es pionero- e, incluso, un P2P para préstamos de pequeñas cantidades de dinero”.
 
En esta línea, todo hace indicar que la banca aún tendrá que invertir en tecnología para superar estas carencias, abordando una multicanalidad que, según De la Fuente, “es más sencilla si se realiza en torno a un visor universal, como es el Acrobat Reader y Flash Player, que se encuentra instalado en el 98% de los ordenadores”. Esta podría ser la vía para alcanzar la autocontratación que ansían los clientes y los bancos, simplificando todos los trámites online que a día de hoy son demasiado complejos o técnicamente cuestionables.

EADTrust, en la Escuela Banespyme-Orange

1 respuesta

Banespyme - OrangeOrange, la Fundación Banesto Sociedad y Tecnología y el IE Business School están llevando a cabo la 8ª Edición del Concurso Escuela Banespyme-Orange.

EADTrust, la spin-off de Albalia Interactiva especializada en Servicios de Confianza de la Sociedad de la Información,  ha sido seleccionada en la primera fase.

El proceso del Concurso es el siguiente:

Selección inicial de las veinte mejores ideas de negocio para la puesta en marcha de aquellas iniciativas empresariales en el ámbito de las tecnologías Innovadoras, consistentes en acceso a una fase de formación y tutoría personalizada para el desarrollo de Planes de Negocio.

Posterior selección de los diez mejores proyectos de entre los veinte anteriormente preseleccionados que optan a una segunda fase de formación especializada y presentación ante un Panel de Inversores.

Selección final de dos proyectos ganadores de entre los diez que hayan superado la segunda fase y que pasarán a la fase final de incubación de sus proyectos.

Los servicios que prestará EADTrust vienen avalados por el modelo testado por Albalia Interactiva y se destinan a empresas de toda Europa.

El pasado 23 de mayo se desarrolló la primera sesión en el Instituto de Empresa (para los participantes de Madrid)