Archivo de la categoría: Medios de Pago

Orden en el caos: Evaluación de conformidad en entornos complejos (en el Panel: Estándares, Identidad Digital y Servicios de Pago)

Deja un comentario

En el contexto del III Congreso Internacional «Presente y futuro de la regulación de los criptoactivos en la Unión Europea» organizado por LegalCripto by BAES y la Universidad de Alicante los días 13, 14 y 15 de diciembre de 2023, que ya comenté quisiera llamar la atención sobre el Cuarto Panel que tiene lugar el viernes 15 de diciembre de 2023 a las 10:00.

10:00   Cuarto Panel: Estándares, Identidad Digital y Servicios de Pago

Presenta y modera: Dra. Mª José Vañó Vañó, Profesora Titular de Derecho Mercantil en la Universidad de Valencia e investigadora en LegalCripto

  • PSD3 en el contexto de los criptoactivos con función de pago — Dra. Lucía Alvarado Herrera, Profesora Titular de Derecho Mercantil en la Universidad Pablo de Olavide de Sevilla y colaboradora en LegalCripto.
  • Orden en el caos: Evaluación de conformidad en entornos complejos — Dña. Ainhoa Inza Blasco, Chief Executive Officer del Trust Conformity Assessment Body (tCAB).
  • Marcos de referencia en seguridad como camino a seguir — D. Pablo López, Jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional (CCN).
  • La futura regulación europea sobre identidad digital y su impacto en los medios de pago — Dña. Mª Cristina Timón López, Investigadora doctoral en la Universidad de Murcia, consultora de pagos digitales para la firma holandesa Explicit Selection y colaboradora en iDerTec y LegalCripto.

Presente y futuro de la regulación de los criptoactivos en la Unión Europea

1 respuesta

Es motivo de satisfacción compartir con vosotros mi participación en el III Congreso Internacional «Presente y futuro de la regulación de los criptoactivos en la Unión Europea» organizado por LegalCripto by BAES y la Universidad de Alicante los días 13, 14 y 15 de diciembre de 2023.

Mi intervención es el día 13 de diciembre a las 16:30 en el Primer Panel

16:30   Primer Panel: ¿Qué cabe esperar en Metaverse, Artificial Intelligence, Replicated Journal Technology, Large Language Models, Quantum Computing, Post Quantum cryptography, Central Bank Digital Currency, Citizen Digital Identity and Wallets?

Presenta y modera: Dra. Carmen Pastor Sempere, Profesora Titular de Derecho Mercantil en la Universidad de Alicante e Investigadora Principal de LegalCripto.

  • Tecnologías con futuro y su impacto en el Derecho — D. Julián Inza, Presidente de EAD Trust y Director del Laboratorio de Confianza Digital del Observatorio Legaltech & Newlaw Garrigues-ICADE.
  • Inteligencia Artificial, Descentralización y Web 4.0 — Dr. Víctor Rodríguez Doncel, Profesor Asociado de Inteligencia Artificial en la Universidad Politécnica de Madrid.
  • Panorama legislativo complejo en la UE sobre IA y la regulación sectorial — Dra. Yolanda Bustos Moreno, Profesora Titular de Derecho Civil en la Universidad de Alicante.

El Congreso se enmarca en el Programa Prometeo 2023, Proyecto CIPROM/2022/26

Laboratorio de Confianza Digital ICADE Garrigues

2 respuestas

La Universidad Pontificia Comillas y el despacho de abogados Garrigues, firmaron un convenio para crear el Observatorio ‘Legaltech’, Garrigues-ICADE.

El Observatorio, depende de la Facultad de Derecho (Comillas ICADE), a través del Centro de Innovación del Derecho (CID-ICADE).

En la organización del Observatorio destacan Fernando Vives (Presidente), Iñigo Navarro (Codirector), Moisés Menéndez (Codirector), Ofelia Tejerina (Coordinadora) y Hugo Alonso (Gestión de Proyectos).

Formando parte del Observatorio se han definido ya varios laboratorios:

Ahora se crea el Laboratorio de Confianza Digital ICADE Garrigues y he sido nombrado Director del Laboratorio, lo que para mi es un gran honor.

Aunque todavía estoy recopilando información para incorporarla a la página web del Laboratorio que se creará en el sitio de la Universidad de Comillas quisiera comentar que en este momento estamos dando prioridad al análisis del futuro Reglamento EIDAS2 y a la formulación de la Cartera IDUE que se espera que en unos dos años esté disponible para todos los ciudadanos europeos.

Hemos creado un Enlace de invitación al Canal de Whatsapp del Laboratorio de Confianza Digital en el que comentaremos novedades y al que se pueden conectar las personas interesadas.

Posteriormente organizaremos eventos presenciales con diversos ponentes en las instalaciones de la Universidad.

Y dado que soy de Pamplona y hoy es 6 de julio, pongo esta fotico del chupinazo que se ha disparado a las 12 de la mañana desde el balcón del ayuntamiento para celebrar que hoy comienzan las fiestas de San Fermín.

Normativa relativa a la gestión de entidades de pago y entidades de dinero electrónico

Deja un comentario

El dia 4 de diciembre de 2020 se ha publicado en el BOE la Circular 5/2020, de 25 de noviembre, del Banco de España, a entidades de pago y a entidades de dinero electrónico, sobre normas de información financiera pública y reservada, y modelos de estados financieros, y que modifica la Circular 6/2001, de 29 de octubre, sobre titulares de establecimientos de cambio de moneda, y la Circular 4/2017, de 27 de noviembre, a entidades de crédito, sobre normas de información financiera pública y reservada, y modelos de estados financieros.

Entre otras, esta circular se relaciona con las siguientes normas:

  • Orden ECE/1263/2019, de 26 de diciembre, sobre transparencia de las condiciones y requisitos de información aplicables a los servicios de pago y por la que se modifica la Orden ECO/734/2004, de 11 de marzo, sobre los departamentos y servicios de atención al cliente y el defensor del cliente de las entidades financieras, y la Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección del cliente de servicios bancarios.
  • Real Decreto 736/2019, de 20 de diciembre, de régimen jurídico de los servicios de pago y de las entidades de pago y por el que se modifican el Real Decreto 778/2012, de 4 de mayo, de régimen jurídico de las entidades de dinero electrónico, y el Real Decreto 84/2015, de 13 de febrero, por el que se desarrolla la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.
  • Real Decreto 84/2015, de 13 de febrero, por el que se desarrolla la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública.
  • Real Decreto 309/2020, de 11 de febrero, sobre el régimen jurídico de los establecimientos financieros de crédito y por el que se modifica el Reglamento del Registro Mercantil, aprobado por el Real Decreto 1784/1996, de 19 de julio, y el Real Decreto 84/2015, de 13 de febrero, por el que se desarrolla la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito
  • Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE (Texto pertinente a efectos del EEE)

TPP, AISP, PISP, ASPSP – Términos de PSD2 y eIdAS

Deja un comentario

La entrada en vigor de la Segunda Directiva de Pagos (PSD2) recogida en la legislación española en el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, permite el desarrollo de nuevos servicios financieros en Europa e impulsa un nuevo marco de competencia.

Aparecen nuevos términos, que conviene conocer en inglés y en español para entender mejor el nuevo contexto competitivo marcado por el «Open Banking».

Término Descripción
AIS Account Information Services. Servicios de Información de Cuentas. Servicios accesibles mediante API (Application Program Interface) para los TPP (Third Party Provider) Prestadores Financieros  en los que obtener información de los usuarios de servicios de pago.
AISP Account Information Service Provider. Proveedor de servicios de información sobre cuenta.  Prestador Financiero que obtiene información de varias entidades en nombre de un usuario de servicios de pago y se las presenta de forma consolidada.
API Application Programming Interface. Interfaz de Programación de Aplicación. Una API proporciona a una entidad una forma sistemática de obtener información o iniciar acciones en otra entidad. Mediante parámetros y opciones pueden programarse diferentes servicios a terceros.
ASPSP Account Servicing Payment Service Provider.  Proveedor de servicios de pago gestor de cuenta. Una entidad financiera en la que un usuario de servicios de pago tiene cuentas a cuya información un Prestador Financiero puede acceder en su nombre o en la puede iniciar una transferencia.
Autenticacion El proceso de confirmar la identidad de un Prestador Financiero o de un usuario de servicios de pago. Existen pautas como SCA – Strong Customer Authentication (Autenticación Reforzada de Cliente) o mecanismos como los certificados eIdAS para garantizar la correcta identificación.
Autorización El proceso de confirmar la  funcionalidad permitida según las credenciales de un Prestador Financiero o de un usuario de servicios de pago. Inicialmente la funcionalidad se limita a acceder a información de cuentas o iniciar transferencias, según el tipo de prestador (AISP o PISP).
Consentimiento El acuerdo por el que el usuario de servicios de pago otorga al Prestador la posibilidad de acceder a su información bancaria o iniciar transferencias.
eIdAS Reglamento UE 910/2014 que regula, entre otros aspectos los requisitos de expedición de certificados cualificados QWAC para sitios web y certificados cualificados para sello electrónico de los diferentes Prestadores. Los certificados los expiden  QTSPs – Qualified Trust Service providers, Prestadores cualificados de servicios electrónicos de confianza
NCA National Competent Authority. Autoridad Nacional Competente.  Organismo regulador o supervisor de entidades financieras que autoriza a un Prestador Financiero a operar en el nuevo marco de servicios financieros PSD2 cuando cumpla ciertos requisitos. En España, es el Banco de España.
PIS Payment Initiation Services. Servicios de iniciación del pagos. Servicios de transferencia bancaria gestionados por un Prestador Financiero en nombre de un usuario de servicios de pago a través de una API ofrecida por su Proveedor de servicios de pago gestor de cuenta.
PIIS Payment Issuer Instrument Service. Servicio asociado a medio de pago para solicitar por API la autorización de pago con tarjeta indicando el importe (comprueba la validez de la tarjeta y la disponibilidad del importe).
PISP Payment Initiation Service Provider. Proveedor de servicios de iniciación de pago. Prestador Financiero de servicios de transferencia bancaria gestionados en nombre de un usuario de servicios de pago a través de una API ofrecida por su Proveedor de servicios de pago gestor de cuenta. Puede requerirse por parte del ASPSP la confirmación del usuario.
PSU Payment Service User. Usuario de servicios de pago.
QTSP Qualified Trust Service Provider. Prestadores cualificados de servicios electrónicos de confianza. Expiden certificados cualificados QWAC para sitios web y certificados cualificados para sello electrónico de los diferentes Prestadores Financieros. Los certificados permiten identificar a los Prestadores Financieros cuando usan las APIs de otras entidades en entornos de Producción.
SCA Strong Customer Authentication. Autenticación Reforzada de Cliente. Proceso de confirmar la identidad del usuario. Normalmente se usan dos o más factores de autenticación:

  • «Algo que sabes»
  • «Algo que tienes»
  • «Algo que te caracteriza»
Sandbox Experimentos con gaseosa. Zona de pruebas.

El término en inglés Sandbox se refiere a una zona de juegos para niños en la que no estropean nada ni se hacen daño.  Se amplía a usos profesionales en los que se prueban desarrollos con funcionalidades similares a las del entorno real antes del paso a producción.
TPP Third Party Provider. Prestador Financiero. AISP o PISP.  Actúa en nombre de un usuario de servicios de pago accediendo a su información bancaria en otra entidad o iniciando una transferencia. Requiere una licencia por parte de una NCA y puede operar en otros países en virtud del concepto de «pasaporte» haciendo uso de certificados eIdAS.

Prestador-Financiero

Resuelto uno de los frenos a los certificados cualificados de PSD2

1 respuesta

EIDAS-CAB-forumEl CAB Forum ha aprobado una modificación del documento «Extended Validation Guidelines» para permitir incluir guiones en el campo organizationIdentifier (OID 2.5.4.97) de los certificados EV (Extended Validation), con lo que los certificados expedidos en el contexto de la norma ETSI TS 119 495 ya no serán incompatibles con las comprobaciones que realizan los navegadores. De esta forma se podrán expedir certificados QWAC compatibles con EV para entidades financieras y otras entidades que operan en aplicación de la Directiva (UE) 2015/2366 llamada Segunda Directiva de Pagos (PSD2).

La propuesta SC17 se ha aprobado con 23 votos favorables de entidades emisoras de certificados y 6 de las entidades desarrolladoras de navegadores (comprobadores de certificados).

Votos a favor:

  • Emisores:  Actalis, Buypass, Camerfirma, Certigna (DHIMYOTIS), Certum (Asseco), Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, DigiCert, eMudhra, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy,  SHECA, SSC, SecureTrust (anteriormente Trustwave), TurkTrust.
  • Comprobadores: Apple, Cisco, Google, Microsoft, Mozilla, 360

1 Abstención (Emisores): TrustCor

Con este resultado, se permite la inclusión de información adicional en los certificados EV para cumplir con ciertas regulaciones de la Unión Europea.

La motivación argumentada que dio lugar a la solicitud que se ha votado fue:

  • El Reglamento de la Unión Europea Nº 910/2014 (eIDAS)  define ciertos requisitos reglamentarios para los certificados con un nivel de calidad acordado denominado «Cualificado». Este reglamento especifica en el Anexo IV los requisitos específicos para «Certificados cualificados para la autenticación de sitios web», incluida la declaración de que el certificado contendrá: «para personas jurídicas: al menos el nombre de la persona jurídica a la que se expida el certificado y, cuando proceda, el número de registro, tal como se recojan en los registros oficiales;
  • Se entiende que este requisito se relaciona con los atributos validados para la identificación del sujeto del certificado y, por lo tanto, se ajusta mejor al nombre distinguido del sujeto (subject’s distinguished name).
  • En línea con el marco regulatorio, ETSI ha definido una estructura general para llevar «números de registro» en la norma TS 119 412-1 (en la actualidad EN 319 412-1). Ver cláusula 5.1. 4. En ella se utiliza el identificador de organización (organizationIdentifier) de la norma  X.520 dentro del nombre distinguido del  sujeto el propósito de servir como «identificación de una organización diferente del nombre de la organización». Esto se utiliza para los requisitos de ETSI para llevar los números de registro para certificados, cualificados o de otro tipo.
  • Se considera que este uso de organizationIdentifier es compatible con el propósito principal de los certificados de EV como se indica en la sección 2.1.1 de las Directrices de EV como «otra información desambiguadora».
  • Un reciente Reglamento delegado de la UE 2018/389 sobre comunicaciones seguras para servicios de pago establece en el artículo 34.2 que para los Certificados de sitio web cualificados (QWAC), el número de registro requerido en eIDAS «será el número de autorización del proveedor de servicios de pago (…) o equivalente [referencia hecha a regulaciones anteriores relacionadas con entidades financieras]».
  • ETSI ha especificado los requisitos de la norma TS 119 495 para incluir los números de registro relacionados con PSD2 en la estructura general para los números de registro definidos en la citada norma TS 119 412-1 en su cláusula 5.1 .4
  • ETSI se ha esforzado por garantizar y siempre ha intentado que los requisitos relacionados con los certificados de sitios web en el nivel Cualificado estén en línea con las pautas de Extended Validation de CA / B Forum.
  • Esta propuesta solo incluye algunos de los Esquemas de registro utilizados en la norma ETSI TS 119 412-1, que tienen reglas de validación claras (NTR, VAT, PSD) que brindan una seguridad razonable de acuerdo con las «EV Guidelines«. Se propone que los IPR (intellectual property rights) para la semántica de este esquema se cedan al CA / B Forum, lo que le permitirá extender aún más el uso del Identificador de la organización (organizationIdentifier) para incluir otros Esquemas de registro (por ejemplo, LEI, Legal Entity Identifier) y las reglas de validación correspondientes, a discreción del CA / B Forum.  Además, cualquier cambio futuro realizado por ETSI a la norma ETSI TS 119 412-1 ya no tendrá impacto adicional en CA / B Forum.
  • Al tomar conciencia de que la interpretación del CA / B Forum de los «Requisitos de EV» en la sección 9.2.8 “Otros Atributos” no estaba en línea con la forma de entenderlos por los expertos de ETSI, este organismo desearía armonizar su interpretación con la de CA / B Forum para reflejar en los certificados diferentes formas de establecer números de registro para PSD2 y otros esquemas de identificación alfanumérica de entidades.

Por otro lado, las preocupaciones específicas del CA / B Forum eran:

  • Los requisitos con respecto a los atributos que se han de incluir en el DN (Distinguished Name) del sujeto deben recogerse de forma explícita en el apartado 9.2.
  • Las organizaciones pueden desear identificar las unidades organizativas dentro de su organización. No está claro si esto está permitido actualmente en las Directrices de EV (ambigüedad similar a la de la sección 9.2.8).
  • Se han argumentado objeciones al uso específico de ETSI del campo Distinguished Name.
  • Los procedimientos para la validación del atributo deben estar claramente establecidos.
  • Puede haber otros usos del campo organizationIdentifier  en varias PKI, sin embargo, no se considera un problema. dado que la semántica única que se está especificando para cada identificador, las aplicaciones deben ser capaces de comprender los diferentes usos del campo organizationIdentifier  por diferentes emisores y usuarios. Hay muchas «PKI» diferentes que pueden usar todos los atributos de X.500 de manera diferente y con una validación diferente o sin ninguna validación. Según parece, el WebPKI no ha usado anteriormente este atributo de subjectDN antes para los Certificados de confianza pública (Publicly-Trusted Certificates). Por lo tanto, no hay «conflicto» al usar este atributo en las Directrices EV para Certificados SSL / TLS, y tal vez más adelante para Certificados de Firma de Código EV.
  • Este uso de organizationIdentifier debe ser extensible para permitir el uso de otros números de registro asignados por diferentes esquemas de registro. Algunos miembros de CAB Forum han expresado interés en incluir números de registro que no sean para identificar el tipo de sociedad dentro de Certificados EV. Esto está previsto en la propuesta actual.
  • Algunos miembros del CA / B Forum tienen interés en incluir las identificaciones LEI dentro de los certificados del CA / B Forum, pero hasta ahora el esquema de registro LEI no se considera lo suficientemente extendido como para ser reconocido explícitam como un esquema de numeración de registro para ser aceptado por el CA / B Forum. Por lo tanto, esta propuesta solo introduce un conjunto limitado de esquemas de registro (a saber, NTR, IVA, PSD) que tienen reglas de validación razonablemente sólidas.
  • Algunos miembros del CA / B Forum han indicado la posible necesidad de múltiples identificadores en el campo «nombre del sujeto». Sin embargo, esto no se puede lograr utilizando el campo definido en la norma X.520 organizationIdentifier que definió este atributo como «SINGLE VALUE».

Los cambios aprobados, que se reflejarán el documento «EV Guidelines» son:

  • Agregar a la sección 4 las siguientes definiciones:
    Entidad legal: una organización privada, entidad gubernamental, entidad comercial o entidad no comercial.
    Referencia de registro: un identificador único asignado a una entidad legal (persona jurídica).
    Esquema de registro: un esquema para asignar una referencia de registro que cumple con los requisitos identificados en el Apéndice H. «
  • Cambiar el título de la Sección 9.2 para indicar»Campos de Nombre Distinguido del Sujeto» (Subject Distinguished Name Fields).
  • Eliminar la Sección 9.2.2 y renumerar las secciones 9.2.3 a 9.2.8 como 9.2.2 a 9.2.7.
  • Insertar una nueva sección 9.2.8:
    “9.2.8. Campo identificador de organización del sujeto
    ** Campo de certificado **: organizationIdentifier (OID: 2.5.4.97)
    ** Requerido / Opcional **: Opcional
    ** Contenido **: Si está presente, este campo DEBE contener una referencia de registro para una entidad legal asignada de acuerdo con el Esquema de registro identificado.
    El organizationIdentifier DEBE estar codificado como PrintableString o UTF8String (ver RFC 5280).
    El Esquema de Registro DEBE identificarse utilizando la siguiente estructura en el orden presentado:
    * Identificador de esquema de registro de 3 caracteres;
    * Se utilizará el código de país ISO 3166 de 2 caracteres para la nación en la que opera el Esquema de Registro, o si el esquema se opera globalmente, se utilizará el código ISO 3166 “XG”
    * Para el identificador del Esquema de Registro NTR, si es requerido bajo la Sección 9.2.4, un identificador ISO 3166-2 de dos caracteres para la subdivisión (estado o provincia) de la nación en la que opera el Esquema de Registro, precedido por el signo más “+” ( 0x2B (ASCII), U + 002B (UTF-8));
    * un guión (signo menos) «-» (0x2D (ASCII), U + 002D (UTF-8));
    * Referencia de registro asignada de acuerdo con el Esquema de Registro identificado.Nota: las Referencias de Registro PUEDEN contener guiones, pero los Esquemas de Registro, los códigos de país ISO 3166 y los identificadores ISO 3166-2 no PUEDEN contenerlos. Por lo tanto, si aparece más de un guión en la estructura, el guión más a la izquierda es un separador, y los guiones restantes forman parte de la Referencia de Registro.Como en la sección 9.2.4, la información de ubicación especificada DEBE coincidir con el alcance del registro al que se hace referencia. Ejemplos:
    * NTRGB-12345678 (esquema NTR, Gran Bretaña, cuyo identificador único a nivel de país es 12345678)
    * NTRUS + CA-12345678 (Esquema NTR, Estados Unidos – California, cuyo identificador único a nivel estatal es 12345678)
    * VATDE-123456789 (Esquema de IVA o CIF, Alemania, cuyo Identificador único a nivel de país es 12345678)
    * PSDBE-NBB-1234.567.890 (Esquema de PSD2, Bélgica, con identificador de la NCA (National Competent Authority) por sus siglas NBB, y con identificador único del sujeto asignado por la NCA formado por la secuencia 1234.567.890)Los esquemas de registro enumerados en el Apéndice H se reconocen actualmente como válidos bajo estas pautas («Guidelines»).

    La CA DEBE:
    1. confirmar que la organización representada por la Referencia de Registro es la misma que la organización nombrada en el campo de organización como se especifica en la Sección 9.2.1 dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4;
    2. Verificar además que la Referencia de registro coincida con otra información verificada de acuerdo con la sección 11;
    3. Tomar las medidas adecuadas para desambiguar entre diferentes organizaciones como se describe en el Apéndice H para cada Esquema de Registro;
    4. Aplicar las reglas de validación relevantes al Esquema de Registro como se especifica en el Apéndice H. «

  • Insertar nueva sección 9.8 (renumerar las siguientes secciones según sea necesario):
    9.8. Extensiones de Certificado
    Las extensiones enumeradas en la Sección 9.8 se recomiendan para la máxima interoperabilidad entre los certificados y los navegadores / aplicaciones, pero no son obligatorias en las CA, excepto cuando se indica como «Requerido». Las CA pueden usar otras extensiones que no están enumeradas en esta Sección 9.8, pero se les recomienda que propongan su inclusión en esta sección de vez en cuando para ayudar a aumentar la estandarización de la extensión en toda la industria.Si una CA incluye una extensión en un certificado que tiene un campo de Certificado que se menciona en esta Sección 9.8, la CA debe seguir el formato especificado en esa subsección. Sin embargo, ninguna extensión o formato de extensión será obligatorio en una CA a menos que se indique específicamente como «Requerido» en la subsección que describe la extensión.9.8.1. Extensión del nombre alternativo del sujeto (Subject Alternative Name Extension)
    ** Campo del certificado: ** _subjectAltName: dNSName_
    ** Requerido / Opcional: ** Requerido
    ** Contenido: ** Esta extensión DEBE contener uno o más nombres de dominio de host que sean propiedad o estén controlados por el sujeto y que estén asociados con el servidor del sujeto. Dicho servidor PUEDE ser propiedad y operado por el Sujeto u otra entidad (por ejemplo, un servicio de alojamiento). Los certificados comodín no están permitidos para los certificados EV.9.8.2. Campo de identificador de organización del foro de CA / navegador
    ** Nombre de la extensión **: _cabfOrganizationIdentifier_ (OID: 2.23.140.3.1)
    ** OID detallado **: {joint-iso-itu-t (2) international-Organizations (23) ca-browser-forum (140) extensiones de certificado (3) cabf-organization-identifier (1)}
    ** Requerido / Opcional **: Opcional (pero ver más abajo)
    ** Contenido **: Si el asunto: organizationIdentifier está presente, este campo DEBE estar presente.

    A partir del 31 de enero de 2020, si está presente el campo sujeto: organizaciónIdentificador, este campo DEBE estar presente.
    Si está presente, este campo DEBE contener una Referencia de Registro para una entidad legal asignada de acuerdo con el esquema de registro identificado.

    El esquema de registro DEBE estar codificado como se describe en la siguiente gramática ASN.1:

    id-CABFOrganizationIdentifier OBJECT IDENTIFIER ::= 
{ joint-iso-itu-t(2) international-organizations(23) 
ca-browser-forum(140) certificate-extensions(3) 
cabf-organization-identifier(1) }

ext-CABFOrganizationIdentifier EXTENSION ::= 
{ SYNTAX CABFOrganizationIdentifier IDENTIFIED BY 
id-CABFOrganizationIdentifier }

CABFOrganizationIdentifier ::= SEQUENCE {

registrationSchemeIdentifier   PrintableString (SIZE(3)),

registrationCountry            PrintableString (SIZE(2)),

registrationStateOrProvince    [0] IMPLICIT PrintableString OPTIONAL (SIZE(0..128)),

registrationReference          UTF8String

}

    donde están los subcampos y tienen los mismos significados y restricciones descritos en la Sección 9.2.8. La CA DEBE validar el contenido utilizando los requisitos de la Sección 9.2.8 «.

  • Añadir nuevo Apéndice H – Esquemas de registro
    “Los siguientes esquemas de registro se reconocen actualmente como válidos según estas pautas:** NTR **: La información incluida en este campo será la misma que se guardó en el campo Número de registro del sujeto como se especifica en 9.2.5 y el código de país utilizado en el identificador del esquema de registro coincidirá con el de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.
    Cuando la Jurisdicción de constitución de la entidad o el Campo de Registro en 9.2.4 incluya más que el código del país, la información de localidad adicional se incluirá como se especifica en las secciones 9.2.8 y / o 9.8.1.** IVA **: Referencia asignada por las autoridades fiscales nacionales a una entidad jurídica. Esta información se validará utilizando la información provista por la autoridad fiscal nacional contra la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el campo del número de registro del sujeto (ver 9.2.5) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4.

    ** PSD **: Número de autorización especificado en ETSI TS 119 495, cláusula 4.4, asignado a un proveedor de servicios de pago y que contiene la información especificada en ETSI TS 119 495 cláusula 5.2.1. Esta información SE DEBE obtener directamente del registro de la autoridad nacional competente para servicios de pago o de una fuente de información aprobada por una agencia gubernamental, organismo regulador o legislación para este propósito. Esta información DEBE validarse comparándola directa o indirectamente (por ejemplo, haciendo coincidir un número de registro único global) con la organización identificada por el campo Nombre de la organización del sujeto (ver 9.2.1) y el Campo del número de registro del sujeto (ver 9.2.5). ) dentro del contexto de la jurisdicción del sujeto según se especifica en la Sección 9.2.4. La dirección indicada de la organización combinada con el nombre de la organización NO SERÁ la única información utilizada para desambiguar la organización «.

Magnetic Secure Transmission (MST)

2 respuestas

La Transmisión Magnética Segura (en inglés Magnetic Secure Transmission, MST) es una tecnología adoptada en ciertos teléfonos móviles como algunos SAMSUNG que emite una señal magnética que imita la que generaría una banda magnética de una tarjeta de pago tradicional al deslizarse sobre el cabezal lector del TPV.

Cuando se usan medios de pago configurados en teléfonos móviles con tecnología MST, el teléfono envía una señal magnética al lector de tarjetas del terminal de pago lo que simula el deslizamiento de la banda magnética de una tarjeta en el cabezal de lectura.

De esta forma se pueden usar Terminales Punto de Venta (en inglés, Point Of Sale, POS) antiguos y modernos (ya que todos los TPV soportan la tecnología de banda magnética aunque puedan dar soporte a otras, como las tarjetas chip o NFC) y no hace falta actualizar el hardware o el software del terminal con tecnologías específicas.

La tecnología MST es válida para casi todos los terminales de pago del munco equipados con  lector de tarjetas, si bien algunos terminales de pago pueden requerir actualizaciones de software, para dar soporte a la funcionalidad más avanzada de la tecnología.

Para usarlo, hay que seleccionar la tarjeta a emular en la aplicación de pagos del teléfono móvil y acercar el móvil a unos 2 centímetros del punto en el que el TPV equipa el cabezal de lectura (hacia la mitad del recorrido de la ranura por la que se desliza habitualmente la tarjeta de crédito).

La información de la transacción y los datos de identificación del pago se mantienen en secreto, securizados con el uso de tokenización.

El uso de la tecnología MST es más seguro que el de una tarjeta de pago tradicional y de un nivel de seguridad equivalente a la de una operación de pago con tecnología de comunicaciones de campo cercano (en inglés, Near Field Communication, NFC).

Hablando de pagos móviles en ElevenPaths Talks

Deja un comentario

11paths-julianinzaQuiero agradecer a Jorge Rivera y Pablo San Emeterio su invitación a participar en esta charla de ElevenPaths Talks sobre medios de pago móviles «PinPay y seguridad en micro pagos»

¿Qué son los micro pagos? ¿Cómo afecta a la seguridad del proceso de pago? Nuestros CSAs Jorge Rivera y Pablo San Emeterio junto a un invitado especial resuelven tus dudas. ¡Aprende con nuestros expertos!

Recordando viejos tiempos en Mobipay, hablando de perfeccionamiento de contratos, identificación, EIDAS, Confianza Digital, PSD2.

Reflexionando sobre nuevos medios de pago basados en móvil, NFC, tarjetas, TPV,
protocolo MST de Samsung Pay para simular banda magnética con móviles concretos que soporten la tecnología. Consenso, Bizum,

Este es el video:

Hoy hablaré de PSD2 en el 1er encuentro de Compliance de RSI

Deja un comentario

Rural de Servicios Informáticos me ha invitado a dar una charla sobre PSD2 (Segunda Directiva de Pagos) en su primer encuentro de compliance en el que se van a dar unas charlas y debates muy interesantes.

  • 11.30 – 12.00 // Entrega de acreditaciones y café
  • 12.00 – 12.15 // BIENVENIDA > RSI
  • 12.15 – 12.35 // Visión global de conformidad y compliance en el negocio > RSI
  • 12.35 – 12.55 // Metodología de conformidad y compliance > AUREN
  • 12.55 – 13.15 // Supervisión de proveedores y cadena de suministro > LEET SECURITY
  • 13.15 – 13.35 // Gobierno del Dato >IBM
  • 13.35 – 13.55 // Nuevo reglamento europeo GDPR > Syntagma
  • 13.55- 14.15 // Cloud y Outsourcing > Banco de España
  • 14.15 – 14.55 // Mesa de Debate: GDPR y Gobierno del Dato > BDE, IBM, CCI, RSI, UNACC – Modera RSI
  • 14.55 – 16.00 // Ágape y Networking.
  • 16.00 – 16.40 // Mesa de Debate: Transparencia y Compliance > ( DRS, EADTRUST, AENOR, AECR, CONTINUAM – Modera RSI)
  • 16.40- 17.00 // PSD2 > EADTRUST
  • 17.00 – 17.20 // PCI DSS V3.2 > S21SEC
  • 17.20 – 17.40 // Directiva NIS > RSI
  • 17.40 – 18.00 // Prevención Riesgos Penales > Despacho Rodrigo Salmerón.
  • 18.00 – 18.20 // Herramienta de Gestión > AUDISEC
  • 18.20- 18.30 // CIERRE > RSI

DÓNDE? En DOCALIA. P.E VALDELACASA. Avda. Peñalara, 35. Alcobendas

Los ponentes:

Alfonso Pastor

ALFONSO PASTOR

Leet Security

Socio Director Sales & Mktng.

Más de 25 años de trayectoria profesional en servicios y tecnologías de la información, en sistemas financieros y telecomunicaciones. Ingeniero Aeronáutico por la Universidad Politécnica de Madrid.

Con dilatada experiencia en la dirección comercial y de unidades de negocio, en compañías multinacionales de servicios de telecomunicaciones, BT y KPN. Cuenta con notables casos de éxito en la concepción, lanzamiento y desarrollo comercial de nuevos servicios siguiendo la evolución tecnológica y regulatoria, para dar cobertura a las nuevas necesidades y propiciando el crecimiento del mercado.

Alexis Alonso

ALEXIS ALONSO

S21SEC

Actualmente Alexis Alonso es Responsable de Medios de Pago de S21SEC, anteriormente ha trabajado en Iberdrola como miembro del equipo de cumplimiento de LOPD, posteriormente formó parte de KPMG como White Hat Hacker.

Entró en S21SEC como parte del equipo de consultoría y compliance para emprender la aventura de ser Responsable de Seguridad y Compliance de varias plataformas de pago. Cuenta, por lo tanto, con más de 10 años de experiencia en el ámbito de la seguridad y en particular 8 años enfocado a los ámbitos de entornos financieros y medios de pago.

Pablo Garcia

PABLO GARCÍA MEXÍA, J.D., PH.D.

Syntagma

Co-fundador del centro de estudios Syntagma.org. Of Counsel en la firma internacional de abogados Ashurst LLP. Letrado de las Cortes Generales. Doctor en Derecho (apto cum laude, Universidad Complutense de Madrid).

Ha actuado como Árbitro del Banco Mundial (CIADI). Y como Profesor visitante del College of William & Mary (Virginia, EE.UU.). Director de la Revista de Privacidad y Derecho Digital.

Miembro del grupo de líderes en innovación en habla hispana «Los 100 de COTEC». Miembro de las Directivas de Internet Society-Capítulo español y del Foro de la Sociedad Civil. Ha trabajado como consultor internacional para Naciones Unidas y Unión Europea. Ha sido Director de Recursos Humanos y Seguridad del Senado, Secretario General de la Asamblea de Madrid y Director de Relaciones Internacionales del Congreso de los Diputados. Amplió estudios en la Harvard Law School, la IE Business School, la University of Kent at Canterbury y la Universidad CEU-San Pablo. Es autor de ocho libros (en español o inglés) y director de otros cuatro sobre diversos temas legales y referidos a Internet, así como de más de 40 artículos en revistas y otras obras especializadas. Asiduo conferenciante en múltiples foros internacionales y españoles; articulista en diversos medios de comunicación de amplia difusión. Está en posesión de la Cruz de oficial de la Orden de Isabel la Católica.

www.pablogmexia.net

John Doe

PEDRO PABLO LÓPEZ

RSI

Es Gerente GRC & PIC (Gobierno, Riesgos, Compliance & Protección, Infraestructuras y Continuidad Global) de Rural Servicios Informáticos. Su trayectoria se resumen en más de 30 años trabajando en los Servicios Informáticos: ENTEL, CITIBANK, BANCO SANTANDER Y RSI.

Miembro fundador de Instituto Continuidad Negocio Español (CONTINUAM) y del Observatorio de Seguridad Integral, Gestión de Emergencias y Continuidad Operativa (SIGECO), actual Presidente de ambas asociaciones desde 2015. Participa en Comisión de Regulación AUTELSI, Comisión CON (Riesgos) ISACA, Comisión Seguridad y Fraude y Comisión de Continuidad de CCI, Comisión Seguridad AEB, Comisión Seguridad CEIM, Grupo CISO UNICO BANK, miembro de CECON, y otras Comisiones y Grupos de Trabajo de Normalización AENOR y Comité de Seguridad y Continuidad de REDSYS.

Daniel Martinez Batanero

DANIEL MARTINEZ BATANERO

RSI

Actualmente Chieff Data Officer y Director de Smart Data en RSI. Anteriormente Director General de Telecomunicaciones y Nuevas Tecnologías y CIO del gobierno de CLM, Director Internacional de Planificación Estratégica, Control Presupuestario y Oficina de Proyectos de IT de AXA para la región de Sur de Europa, Mediterráneo y Latinoamérica, Director de Corebanking y Secretario Gral. del Consejo de RSI.

Previamente Director de Planificación y Control. Licenciado en Matemáticas con un MBA Internacional por la Universidad Autónoma de Madrid y un Postgrado ?Strategic Business Partnering? por la Universidad Bell Labs de AT&T en Hilversum (Holanda). TEDx Speaker ?Innovación y Tecnología? 2013. Participante, junto con 50 CIO?s mundiales (cinco de ellos españoles), en el libro blanco ?Las TIC en 2026?, una aproximación visionaria del futuro de la mano de las tecnologías.

Julián Inza

JULIÁN INZA

EADTrust

Actualmente soy Presidente de EADTrust, European Agency of Digital Trust, Prestador de Servicios de Confianza Digital registrado en el censo administrado por el MInisterio de Energía, Turismo y Agenda Digital. Colaboro con diferentes instituciones como experto en administración electrónica y diplomática digital. Soy también auditor certificado CISA.

Me considero pionero de la certificación digital: Impulsé la primera autoridad de certificación de España, en Banesto en 1995, y posteriormente he sido Director General de Camerfirma, Director Gerente de FESTE (Fundación para el Estudio de la Seguridad de las Telecomunicaciones) y Presidente de AECODI (Asociación del Sector de la Certificación Digital).

En banca he desempeñado responsabilidades como Senior Vicepresident de Mobipay International (CIO, CISO, responsable de Sistemas de Información, Innovación, Tecnología y Seguridad), Director de Estrategia Tecnológica en Banesto (hoy integrado en Santander) y Director de Redes Distribuidas en Banesto EFT.

Gema Montoya

JOSÉ DE RAFAEL GAVALDA

TCI / Business Ethics & Compliance

Actualmente es socio de TCI (Transparencia Corporativa Internacional) y owner de Business Ethics and Compliance. Sus últimos 5 años los ha dedicado al estudio e investigación de los asuntos relacionados con Transparencia, Compliance y Corrupción desde una perspectiva de los valores éticos de las personas. Ha colaborado con expertos de varias universidades en trabajos relacionados con la ética y la moral. Es presidente de RIGHT PERSON FOUNDATION.

En 1989 entro a formar parte de la consultora Anderse Consulting hoy conocida como Accenture. Desarrollo proyectos con financiación multilateral (Banco Mundial y Banco Interamericano de Desarrollo) basados en la modernización de varias administraciones públicas en Latinoamérica. Tuvo que enfrentarse a episodios de corrupción que le acreditan un buen conocimiento de lo que son las malas prácticas así como sus consecuencias.

Desde el año 2000 al 2011 fue Director General de la AEC (Asociación Española de Empresas de Consultoría) en donde tuvo la oportunidad de vivir muy cerca, la difícil gestión de más de 90.000 consultores. Desarrollo una intensa actividad en beneficio de todas las empresas de consultoria. Es economista, posee un máster en gestión gerencial y es Diplomado por el Centro Superior de Estudios de la Defensa Nacional- 1999. Curso Monográfico ?La Defensa Común Europea?.

Cristina Freijanes

CRISTINA FREIJANES

UNACC

Licenciada en Derecho (especialidad económica) por la Universidad de Deusto. Su trayectoria en la Unacc comienza en 2007, donde ha ejercido como asesora jurídica y defensora del cliente y del partícipe, hasta su nombramiento en 2015 como Secretaria General, cargo que desempeña en la actualidad.

Previamente, entre 2003 y 2007, trabajó en la asesoría jurídica de RGA. En conjunto, más de 10 años en el sector de las cooperativas de crédito. Desde 2015, es además miembro del Comité Consultivo de la CNMV.

Gema Montoya

MANUEL CARPIO

Continuam

Actualmente es consultor independiente sobre Ciberseguridad, Privacidad y Continuidad de Negocio. Este año ha fundado, junto con otros profesionales del sector de la seguridad, la compañía INTELSYNET.

Anteriormente ocupó el puesto de Director Corporativo de Seguridad de la Información y Prevención del Fraude. Secretario del Comité de Seguridad de Telefónica. Es auditor certificado de sistemas de información (ISACA) y Co-fundador del GTS (Grupo de Trabajo en Seguridad, que agrupa a las 15 principales empresas del IBEX35) y de CECONTEL (Consorcio Español para la continuidad de negocio en las Telecomunicaciones).

Jose Miguel del Rio

JOSE MIGUEL DEL RÍO

Banco de España

Auditor informático de la Dirección General de Supervisión del Banco de España, al que se incorporó hace 25 años, tras trabajar anteriormente otros 15 en otra entidad financiera española de primer nivel. Desde hace tres es el responsable del Grupo 3 del Departamento de Inspección IV en dicha Dirección General.

Es auditor CISA y participa en distintos grupos de trabajo en el MUS (Mecanismo Único de Supervisión) y en el grupo interno de Fintech del Banco de España.

Jose Manuel Barrios

JOSÉ MANUEL BARRIOS FERNÁNDEZ

Auren

Gerente de Auren en el Área de Consultoría – División de Seguridad de la Información Es Ingeniero en Informática en la Universidad Politécnica de Valencia y posee las certificaciones CISA, ISO 27001 Lead Auditor, ISO 20000 Lead Auditor, entre otras y es Perito Judicial en Sistemas de Información. Es formador en varios Colegios Profesionales (COIICV, COIT).

Cuenta con más de 14 años de experiencia en el campo de los Sistemas de Información y Comunicaciones, específicamente en Auditorias Informáticas y asesoramiento en seguridad de la información. Experto en Control Interno TIC, Seguridad de Firma Electrónica y entornos PKI, Ciberseguridad Auditorías informáticas, Auditoría de procesos, Data Analytics, Protección de Datos y Continuidad de Negocio.

Antonio Quevedo

ANTONIO QUEVEDO

Audisec

Antonio Quevedo es el CEO y fundador de Audisec, Seguridad de la Información S.L. empresa con más de 10 años de trayectoria en el mundo de la consultoría y desarrolladora de GlobalSUITE. Tiene 43 años, está casado y es padre de tres hijos. Es Licenciado en Derecho por la Universidad de Castilla La Mancha con una mención especial como mejor expediente académico reconocido con un premio especial, Máster en Derecho de las Telecomunicación y Tecnologías de la Información por la Universidad Carlos III de Madrid, PPD por la Escuela de Negocios IESE de Madrid y posee múltiples reconocimientos y titulaciones adicionales como CISA, Lead Auditor, CDPP, etc.

Asimismo, imparte formación, escribe en numerosas revistas y ha publicado artículos siempre con un denominador común, su pasión por la tecnología y la organización empresarial. Estas dos facetas son quizás las que le llevaron a crear Audisec y el software GlobalSUITE, ayudar a las empresas a que sus procesos de mejora organizacional se lleven a cabo de manera rigurosa, eficiente y mantenible. Esta faceta profesional se compagina con la familiar donde su mujer y sus tres hijos, además del Padel,su deporte favorito, hacen de contrapeso.»

Alberto Sainz

ALBERTO SAINZ DE LOS TERREROS HERNÁEZ

AECR

DIRECTOR DE ASESORÍA JURÍDICA Asesoramiento legal general en todo tipo de cuestiones (principalmente de Derecho mercantil y bancario) para temas relacionados con el Grupo Caja Rural y todas las cajas asociadas. Coordinación de los aspectos legales de todo tipo de proyectos relativos a las cajas asociadas. Asesoramiento legal general a la Asociación y los miembros de su Junta Directiva. Vicesecretario de la Junta Directiva de la Asociación. Representante de la patronal del sector (UNACC) en determinados grupos de trabajo de la European Association of Cooperative Banks.

Julia Urio

JULIA URÍO

IBM

Existe un nuevo entorno de análisis basado en nuevas fuentes de datos, capacidades de cloud y cognitivas y capacidades de autoservicio para usuarios de empresa. No olvidar que la calidad de los datos y la gobernanza de la información es el factor clave de éxito para garantizar las metas de negocio y el cumplimiento de los requisitos legales como GDPR, Basile

Diebold Nixdorf se estrena en la Bolsa de Nueva York

1 respuesta

Ayer 17 de enero de 2017 fue el día en que la empresa Diebold Nixdorf empezó a cotizar como tal en la Bolsa de Nueva York, tras el proceso de fusión de las dos entidades de procedencia Diebold y Wincor Nixdorf.

diebold-nixdorf-nyse

Me produce cierta satisfacción ver que se preserva la referencia a Nixdorf, empresa en la que trabajé hasta su fusión con la división de informática de Siemens (también trabajé en la empresa fusionada).

Yo fuí el último empleado que contrató Nixdorf España antes de la fusión, con un gran reto por delante: el despliegue de la infraestructura de Ofimática y Comunicaciones del nuevo edificio de Tres Cantos, en construcción en aquel momento. Agradezco a Francisco Antón el haber confiado en mi para aquel reto.

Preservar esta referencia es preservar una marca que se identificaba con la calidad y el buen servicio, algo en lo que los empleados de Nixdorf estábamos muy motivados, y siempre nos recordaba Francisco Robert.

Y es preservar el recuerdo de Heinz Nixdorf, que fundó Nixdorf Computer AG en 1952. Una de las empresas señeras de informática europeas.

Tras aquella fusión, Siemens Nixdorf Retail and Banking Systems GmbH fue adquirida el 1 de octubre de 1999 por Kohlberg Kravis Roberts y Goldman Sachs Capital Partners y pasó a denominarse Wincor Nixdorf, y salió a Bolsa en 2004.

dn-diebold-nixdorf-logoYa he publicado un par de referencias al proceso de fusión entre Diebold y Wincor Nixdorf: