Archivo de la categoría: PKI

BackTrust in CeBIT

1 respuesta

We at Albalia are trying to discover our international market. We are going to be at CeBIT with several appointments with potential partners. We already have been at CeBIT last year, with our own booth, in the framework of the spanish pavillion.

We now focus on our BackTrust product. A complete suite that allow to dematerialize all kind of documents, and manage electronic evidences. The core sistema manages electronic signatures and digital custody, and is suitable to deploy eGovernment solutions, and also ebanking, eHealth, eCommerce and eDocuments.

Our solutions helps manage electronic signatures (in the sense of Directive 1999/93/CE), and also digitalized signatures, biometric proofs and electronic evidences (such as certified digitization), thus allowing to eliminate paper while preserving evidential proof of the electronic registers.

Our BackTrust suite is available on zEnterprise with the name zBackTrust, and it is the only electronic signature solution in the world for IBM mainframes (both for Linux for System z, and z/OS). The solution is certified by IBM and is already deployed in customers as NovaCaixaGalicia (see page 12).

Others of our solutions are also mentioned internationally:

  • The Albalia team is very active in Social NetWorks (in Spanish):

    • Seminario de Diplomática Digital

    2 respuestas

    La diplomática es una ciencia auxiliar de la historia que se ocupa de la autenticidad de los documentos, y que se definió inicialmente en 1681 a partir de la obra fundacional “De re diplomática” del benedictino Jean Mabillon.

    En el ámbito de las Administraciones Públicas ha dado lugar al concepto de “diplomática contemporánea” que se ha uniformizado gracias a la Ley 30/1992.

    Con la Ley 11/2007 se les da un nuevo impulso a los aspectos digitales de la diplomática, pero quienes tienen que implantarlos se encuentran frecuentemente con que no tienen el bagaje conceptual que permita resolver las dudas de aplicación más allá de la letra de la ley.

    En el sector privado, la LSSI y el artículo 2 de la Ley 56/2007 marcan una orientación en la Gestión Electrónica de Documentos, pero hay dudas sobre el valor jurídico de muchas de las iniciativas destinadas a mejorar la eficiencia en la Gestión de Documentos. Cuando los proyectos de desmaterialización documental se acometen, se experimentan ahorros de decenas de millones de euros (en función de la dimensión de los proyectos), y períodos de recuperación de la inversión de entre 9 y 12 meses.

    Atenea Interactiva organiza el próximo 24 de marzo de 2010 en el Hotel Nuevo Madrid el Seminario «Diplomática Digital«, en el que se desarrollan los conceptos claves para manejar documentos electrónicos auténticos, de la mano de expertos en Gestión Documental Electrónica de carácter probatorio, y se contextualizan en el marco jurídico español, aunque las ideas claves sean de aplicación universal.

    El coste del evento es de 350 € + IVA (18%). Total 413 € por asistente. Este es el formulario de inscripción. Y este es el programa:

    CONCEPTOS DE DIPLOMÁTICA

    • Archivística, Paleografía, Sigilografía.
    • Cartularios, Códices Diplomáticos, Tumbos, Becerros
    • Autenticidad de los documentos en papel
    • Partes de un documento
    • Tipos de documentos

    MARCO LEGAL

    • Normativa en relación con los archivos
    • Normativa en relación con la Firma Electrónica
    • Normativa de Administración Electrónica
    • Normativa sobre Contratación Electrónica
    • Estándares aplicables en la Gestión de Documentos Electrónicos

    DIPLOMÁTICA DIGITAL

    • Autenticidad de los Documentos Electrónicos. Obliterabilidad, Endosabilidad, Completitud
    • Firma Electrónica. Firma Avanzada. Firma Completa
    • Custodia Digital. Cartulario Digital. Archivo de Constancias Electrónicas. Código de Verificación
    • Convivencia de Documentos Electrónicos y de papel. Albalá, Copia constatable, Digitalización Certificada. Localizador

    GESTIÓN DE DOCUMENTOS EN EL SECTOR PÚBLICO

    • Sede Electrónica. Código seguro de verificación.
    • Registro de entrada, registro de salida, registro telemático, interconexión de registros. SICRES.
    • Expediente Electrónico
    • Digitalización de Documentos
    • Interoperabilidad de Gestión de Documentos entre Administraciones
    • Clasificación de documentos. Metadatos.
    • Notificaciones Fehacientes. Notificaciones Obligatorias.

    GESTIÓN DE DOCUMENTOS EN EL SECTOR PRIVADO

    • Contratos. Novación Electrónica. Prestación del consentimiento.
    • Digitalización Certificada de facturas. Digitalización Certificada de otros tipos de documentos.
    • Uso de la Firma Electrónica.
    • Requisitos de la digitalización de la firma manuscrita para que sea considerada Firma Electrónica avanzada. Tabletas digitalizadoras, bolígrafos electrónicos.
    • Notificaciones Fehacientes. Correo Electrónico Certificado

    GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN ENTORNOS JURISDICCIONALES

    • La Prueba Electrónica en la Ley de Enjuiciamiento Civil
    • Evidencias Electrónicas estructuradas y no estructuradas.
    • Informática forense.
    • Documentos privados. Documentos públicos. El informe pericial. El testigo perito.

    Certificados duales RSA – ECC (enmarcados en el ENS)

    2 respuestas

    EADTrust ha iniciado una campaña de promoción de certificados electrónicos según un nuevo modelo. En vez de entregar un solo certificado, entrega dos. El primer certificado, RSA, con clave de 2048 bits puede ser utilizado de forma convencional, en servidores SSL. El segundo (vinculado con el primero por una regla de generación cruzada) cumple los principos Binum. Es un certificado ECC con clave de 256 bits (robustez equivalente a 3070 bits en claves RSA) y se utiliza también en servidores SSL.

    Los certificados se entregan en formato PKCS#12 y la generación de claves (llevada a cabo por EADTrust) verifica las recomendaciones contra los ataques matemáticos identificados en la literatura académica. Los certificados tienen una duración de 3 años, por lo que requieren menos esfuerzo de gestión (que los certificados anuales). El precio de los certificados (de cada pareja) es de 99 euros si identifican un dominio y 199 euros en el caso de pareja de certificados multidominio (*). Hasta el 30 de junio de 2011, el coste de cada pareja de certificados será de 50 y 100 euros respectivamente.

    Dado que los certificados ECC no los soportan todos los navegadores, ayudamos a las entidades solicitantes a configurar los servidores de forma que se usen los algoritmos más potentes que soporte cada navegador, combinando ambos certificados.

    Compruebe si su navegador soporta ambas tecnologías instalando los certificados raíz de las dos jerarquías de certificación:

    El uso de claves largas en RSA (al menos de 2048 bits) y el empleo de algoritmos ECC como ECDSA son algunos de los aspectos recomendados por el CCN (Centro Criptológico Nacional) en la documentación de seguridad relativa a la implantación del Esquema Nacional de Seguridad. En particular, el documento Guía 807 – Criptología de empleo en el Esquema Nacional de Seguridad estudia los diferentes alguritmos y sus ataques conocidos y hace recomendaciones sobre los más adecuados en función del objetivo perseguido (identificación, autenticación, cifrado, firma, confidencialidad en SSL,…)

    También hay recomendaciones equivalente en los documentos de la administración nortemaericana NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186 -2 y FIPS 186-3 respectivamente en los apéndices 6 y D en las secciones Recommended Elliptic Curves for Federal Government use (United States).

    A nivel europeo, las especificaciones que tratan sobre los algoritmos criptográficos que se usan para firma electrónica (por ejemplo) se describen en el documento ETSI TS 102 176-1 V2.0.0 (2007-11) “Technical Specification. Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms».

    Otras normas aplicables:

    • RFC 3278 «Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS)»
    • RFC 4050 «Using the Elliptic Curve Signature Algorithm (ECDSA) for XML Digital Signatures»
    • RFC 4051 “Additional XML Security Uniform Resource Identifiers (URIs)”
    • RFC 4492 “Elliptic Curve Cryptography (ECC) Cipher Suites for Transport Layer Security (TLS)”
    • ISO/IEC 15946 “Information technology — Security techniques — Cryptographic techniques based on elliptic curves”
    • ANSI X9.62:2005 “Public Key Cryptography for the Financial Services Industry, The Elliptic Curve Digital Signature Algorithm (ECDSA)”

    Otras referencias a EADTrust en este Blog:

    Actualización: A partir de 2020, solo se entrega el certificado solicitado. Las peticiones de certificado deben incluir el tipo de criptotografía deseado, que puede llegar a 8192 bits de tamaño en RSA y 384 bits en ECC.

    Mainframe supported electronic signature: zBackTrust

    Deja un comentario

    Albalia is an IBM partner in the System z environment (now zEnterprise) that has developed the only SOA electronic signature solution for Mainframes running z/OS or zLinux

    This solution complies with standards such as OASIS DSS or ETSI TS 101 903.

    Find more in this zBackTrust brochure, and in  this IBM page.

    Contact your IBM dealer worldwide or though  INSA exclusive channel: www.insags.com— +34 901 116 376— soluciones@insags.com

    Diseño y planificación de una infraestructura de clave pública (PKI)

    3 respuestas

    Albalia Interactiva, empresa especializada en firma electrónica, factura electrónica, banca electrónica y administración electrónica, en colaboración con IBM,  ofrece el servicio de Diseño y planificación de una infraestructura de claves públicas (PKI)

    Una infraestructura de claves públicas (PKI) bien planificada y construida permite afrontar los requisitos estrictos de autenticación, cifrado y firma digital que se espera de las actuales aplicaciones de e-business.

    Destacamos

    Los servicios de diseño y planificación de la infraestructura de claves públicas de IBM preparan la estructura necesaria para cumplir con los objetivos de su empresa y mejorar la seguridad de sus iniciativas de e-business.

    Gracias al aprovechamiento de las metodologías probadas y del capital intelectual, los asesores y arquitectos de IBM le permiten comprender cómo debe aplicarse la infraestructura de claves públicas (PKI) a su entorno empresarial, desarrollar la solución y preparar el despliegue de la tecnología PKI en su empresa.

    El servicio incluye:

    El siguiente conjunto de actividades conforma las fases de planificación y diseño de la infraestructura completa de servicios de PKI probados y se ofrece de forma individual o en paquetes, según sus necesidades:

    • La estrategia de la infraestructura de claves públicas (PKI) examina el entorno y la estrategia de su empresa y construye los fundamentos para tomar en consideración una infraestructura de claves públicas.
    • El asesoramiento de preparación de la PKI determina el modo en el que la creación de una infraestructura de claves públicas incidirá en la empresa y recomienda los pasos a seguir para su preparación.
    • El valor de la PKI describe las ventajas y la justificación empresarial de una infraestructura de claves públicas.
    • Los requisitos de la PKI definen los requisitos empresariales, tecnológicos y del proceso de seguridad que responden a las necesidades de su empresa.
    • La política de PKI define las políticas operativas, de procedimiento y de seguridad que regularán la infraestructura de claves públicas.
    • La arquitectura conceptual identifica la estructura de la PKI, el modelo de seguridad y los principios del diseño.
    • La arquitectura funcional se basa en la arquitectura conceptual de la infraestructura de claves públicas y define sus funciones requeridas y las relaciones entre dichas funciones.
    • La selección de productos de PKI proporciona un análisis de los requisitos de su infraestructura de claves públicas y de la arquitectura conceptual de la misma, en comparación con las soluciones del sector para que pueda escoger la tecnología que mejor se ajusta a sus necesidades.
    • La selección del sitio y el diseño de la infraestructura le permiten evaluar las posibles ubicaciones y ofrece recomendaciones para el diseño y el despliegue del recurso.
    • La arquitectura de los componentes se basa en la arquitectura funcional de la infraestructura de claves públicas y define las tecnologías, los estándares, las interfaces y los productos seleccionados que cumplan con los requisitos, la estrategia y la política de la infraestructura de claves públicas de su empresa.
    • El desarrollo de procesos describe los procesos necesarios para dar soporte a la infraestructura de claves públicas, incluidos el registro, la revocación, el mantenimiento de registros y la generación de claves de la entidad emisora de certificados.
    • Las prácticas de certificación de la PKI destacan los componentes técnicos de los documentos de la política de infraestructura de claves públicas más importantes, la declaración de práctica de certificación y las políticas de certificación.
    • El plan de implementación incluye los pasos, los conocimientos y los recursos necesarios para implementar la infraestructura de claves públicas.

    Una vez definidos los planes, el siguiente paso es integrar e implementar su solución de PKI mediante nuestros servicios personalizados, que están disponibles previa petición.

    En los entornos corporativos, que disponen de Mainframe, con z/OS, parte de los recursos hardware y software necesarios están ya disponibles, por lo que la estrategia de gestión de PKI es una alternativa económica o otros sistemas de gestión de certificados.

    IBM ha publicado los documentos que explican la forma de desplegar su PKI en organizaciones con sistemas z/OS:

    Otros artículos relacionados:

      Free personal digital certificates

      1 respuesta

      We at Albalia are working in electronic signature environments since the creation of the company. Most of our staff has been working for several Certification Authorities since 1995 (and in the subjet of public key cryptography sinde 1992).

      Now we are better known by our BackTrust electronic signature suite of solutions, (specially zBackTrust, the only IBM certified solution for electronic signature under OASIS DSS and ETSI XAdES/PAdES standards in  zSeries Mainframe computers, and featured in the recent announcement of IBM zEnterprise System).

      This has led us to be also well known in electronic invoice markets and in eGovernment environments.

      Since 2005 we offered a free electronic certificate service (that was even linked from spanish version of Wikipedia for «Autoridad de Certificación») but the information was only in spanish.

      Now we have published our english version that is available at:

      http://ca.albalia.com:8080/democa/start.html

      These free electronic certificates  are useful for testing purposes, both for windows and java environments. If you are going to use them in a windows workstation, check the box «include root». To be used in a Java environment leave the box blank.

      Also download the root certificate in the following screen to install it and grant your trust to the Certification Authority hierarchy, and this way to allow certificates issued by that CA to be trusted in your system.

      FESTE, Fundación para el Estudio de la Seguridad de las telecomunicaciones

      Deja un comentario

      Fui Director Gerente de la Fundación FESTE hasta 1999, fecha en la que me llamaron, de nuevo, a Banesto. Fue la tercera autoridad de certificación de España, tras ACE y la FNMT y estaba respaldada por los representantes de la fe pública extrajudicial, en aquel momento el Consejo General del Notariado y el de Corredores de Comercio, lo que suponía un plus, en mi opinión a los certificados de identidad y de representación de sociedades.

      Conservo buenos recuerdos de mi paso por Barcelona, sede de la Fundación (en la emblemática calle Tuset, entre la Diagonal y Travessera de Gracia).

      Con 10 años de perspectiva, es interesante que siga siendo posible encontrar con Google noticias de FESTE:

      La seguridad en las transacciones electrónicas

      Deja un comentario

      En febrero de 2004 se publicó en una de las revistas ICE (Información Comercial Española) editado por la Secretaría de Estado de Comercio Exterior un artículo que preparé para Fernando Gómez Avilés-Casco. Era en la época en que yo era el Director General de Camerfirma, y él el Presidente.

      Con frecuencia se menciona la percepción de falta de seguridad de las transacciones electrónicas por parte de los usuarios como una de las principales barreras para el desarrollo del comercio electrónico. En rigor, al identificar la falta de confianza en el comercio electrónico como concepto más amplio que engloba a la presunción de falta de seguridad, es posible diseñar un conjunto de acciones que contribuyan en varios frentes a crear las condiciones de su desarrollo. Las cámaras de comercio, a nivel internacional y específicamente en España, están contribuyendo con varias iniciativas a suavizar los reparos que hacen dudar a los usuarios. La propia capilaridad de la red cameral permite contribuir en los aspectos formativos al despliegue del conocimiento y de la formación que faciliten las transacciones seguras, especialmente en el ámbito empresarial.

      1. Situación actual

      Frecuentemente, los estudios que analizan el comportamiento de los particulares acerca del uso de Internet destacan el incremento interanual de internautas (personas que acceden a Internet desde hace algún tiempo) y estudian el comportamiento de los internautas en relación al conjunto de la población. Dentro de los internautas estudian el caso especial de los que compran por Internet, así como las causas de que no lo haga el resto. Uno de estos estudios es el denominado Estudio comercio electrónico B2C en España centrado en las ventas al consumidor – B2C y elaborado por AECE-fecemd en mayo de 2003 [4].

      Los datos que arroja el estudio son muy interesantes: sólo el 37,8 por 100 de los entrevistados declara utilizar Internet, por lo que éstos serán posteriormente la base sobre la que se elaboren otras conclusiones. Así y todo el incremento es notable puesto que el año anterior este porcentaje se reducía al 23,1 por 100.

      Al preguntarles si compran por Internet, los internautas han respondido que sí en un 19,4 por 100 y que no en un 80,3 por 100. Por ello la representatividad y fiabilidad de los resultados de la encuesta es mayor para el caso de los que no han comprado respecto a los que sí han comprado. Entre las razones para comprar destacan la comodidad, el precio y, por lo general, la experiencia de los usuarios ha sido satisfactoria pues el 97,9 por 100 de los usuarios que han hecho compras por Internet ha declarado que dicha compra ha cubierto sus expectativas «siempre» o «casi siempre».

      Sin embargo, al preguntar a quienes no han comprado por Internet las razones para no hacerlo, encontramos destacadamente varias razones relacionadas con la confianza (ver Gráfico 1): «Miedo a dar los datos personales», «desconfianza en el sistema de pago», «inseguridad/desconfianza», «desconfianza en la presentación del producto», «falta de información», «desconfianza en las tiendas existentes».

      Aunque muchas veces este tipo de respuestas no son reflexivas y vienen inducidas por la tipificación de respuestas disponibles en la encuesta y por el estado de opinión al que contribuyen los medios de comunicación, no cabe duda que para muchas personas la presunción de que las condiciones asociadas a las compras por Internet no merecen confianza se ha instalado en su acervo cultural, de forma que difícilmente se replantearán si sus presunciones están justificadas.

      2. ¿Es seguro el comercio electrónico?

      Ésta es una de las preguntas de más actualidad para los empresarios y los consumidores. La respuesta nunca puede ser tajante en ningún sentido, pero en especial en su afirmación. Es un hecho que la seguridad total tiene un coste infinito y, por lo tanto, no es ni será nunca completamente seguro el comercio electrónico, de la misma forma que no lo es ningún tipo de comercio.

      De todas formas sería bueno hacer un conjunto de reflexiones: ¿Es seguro volar?, la respuesta varía según a quién se le pregunte y, al final, se acaba respondiendo con expresiones o cifras comparativas: es la forma más segura de viajar, es la que tiene menor porcentaje de siniestralidad, etcétera, en el fondo se acaba recurriendo a la comparación.

      Con el comercio electrónico ocurre lo mismo, y al final la pregunta debería ser: ¿es más inseguro el comercio electrónico que el comercio tradicional?

      La repuesta tampoco es simple puesto que se compara un comercio con experiencia de siglos con uno de muy reciente creación pero, aún así, me gustaría hacer algunas preguntas que puedan generar reflexión:

      «Cuando una empresa pone una tienda ¿pone puertas para limitar su acceso?, ¿pone alarmas para evitar robos?, ¿tienen seguros para casos de siniestralidad?, etcétera», sin duda alguna las respuestas son en su mayoría afirmativas. ¿Se hace lo mismo cuando se pone una tienda o un negocio en la red?, la respuesta a dicha pregunta presenta sin duda muchos más interrogantes que en las anteriores.

      Hoy en día se puede afirmar que existen los mecanismos y las herramientas para garantizar un alto nivel de seguridad en la red, mayor incluso que para el negocio tradicional. Existen aseguradoras que ofrecen seguros de responsabilidad civil, de robos, etcétera, existen los firewalls —equivalentes a los guardas de seguridad en la red los cuales permiten el acceso a ciertos usuarios y lo deniegan a otros— existen los certificados digitales —autenticas llaves de seguridad de las puertas virtuales de la tienda electrónica que a la vez permiten garantizar la atribuibilidad de las transacciones— existen los antivirus, un sistema antivandalismo, etcétera.

      En definitiva, el uso del comercio electrónico puede ser tan seguro como se desee, se planifique o se invierta en dicha seguridad de la misma forma que se haría en un negocio tradicional.

      Pero, ¿cuál es la situación real o cómo se comportan las personas ante esta realidad? En este sentido, es llamativo que cuando las personas tienen que decidir sobre la adopción de medidas de seguridad en las empresas (y contribuir así a un clima más positivo en la percepción de los usuarios) aparentemente no son tan sensibles a las «malas noticias».

      El estudio publicado por ASIMELEC en colaboración con el Ministerio de Ciencia y Tecnología en el marco del proyecto «Seguridad de la Información XXI» en el año 2003 [1] menciona un conjunto de estadísticas que deberían inquietar a las empresas:

      • Los incidentes de seguridad se duplican cada año con respecto al anterior.
      • Diariamente se descubren entre2y5 nuevas vulnerabilidades.
      • Los incidentes por virus provocaron pérdidas por 14.500 millones de euros en 2001.
      • El 70 por 100 de las empresas medianas, el 84 por 100 de las grandes y el 89 por 100 de las muy grandes, han tenido pérdidas significativas por incidentes de seguridad en el año 2002.
      • El gasto europeo en seguridad pasará de 2.000 millones de euros, en el año 2000, a alcanzar los 6.900 millones de euros, en 2005.
      • El 54 por 100 de las empresas han incrementado su presupuesto para seguridad con respecto al año 2001, con un crecimiento medio del 25 por 100.
      • Entre los años 2000 y 2001 la Agencia de Protección de Datos abrió expedientes sancionadores por 20 millones de euros.
      • En el año 2001 la Agencia de Protección de Datos realizó 400 inspecciones.
      • El 25 por 100 de las agencias del gobierno norteamericano son vulnerables a un ataque.
      • Un 70 por 100 de 250 grandes empresas europeas no sabe cuándo ni con qué frecuencia revisa su política de seguridad.
      • Más del 75 por 100 de las empresas españolas que basan su negocio en comercio electrónico a través de Internet vulneran en mayor o menor medida la LOPDCP.
      • El estudio, realizado sobre 3.000 empresas de ámbito mundial, señala que los fallos de seguridad cuestan a las compañías entre el 5,7 y el 7 por 100 de sus ingresos anuales. Este concepto supuso unas pérdidas de 4.300 millones de dólares en empresas europeas.
      • Habiéndose multiplicado el número de ataques en la red por 2.400 en los últimos seis años produciendo unas perdidas valoradas en unos 250.000 millones de dólares, no se entiende que el presupuesto típico que una empresa de Internet destina a la seguridad sea menos del 5 por 100.

      El marco del estudio de ASIMELEC pretende crear en las empresas un clima que promueva una actitud responsable ante la seguridad, por lo que incidir en los problemas detectados se considera un incentivo para la adopción de medidas.

      En el citado estudio se comprueba el tipo de medidas de seguridad que adoptan las empresas en el ámbito de las tecnologías de la información (ver Gráfico 2).

      No causa sorpresa el hecho de que las tecnologías más implantadas sean los antivirus y los firewalls (sistemas de protección perimetral de las comunicaciones), por el conocimiento de los problemas que se pueden afrontar con dichas soluciones y la relativa accesibilidad económica de la tecnología asociada.

      En general las empresas no disponen de un tratamiento sistematizado de los retos de seguridad. Al preguntarles sobre las barreras existentes para la adopción de un enfoque metodológico como el que permite la adopción de las normas ISO/UNE 17799 y UNE 71501 y el Reglamento de Medidas de Seguridad RD994/1999, las conclusiones no pueden ser más reveladoras (ver Gráfico 3):

      • El mayor obstáculo a la implantación de la seguridad es la cultura empresarial, por encima de los problemas que a priori podrían parecer más relevantes como presupuesto o tecnología.
      • Las organizaciones consideran que un porcentaje muy elevado de las recomendaciones de seguridad no les son aplicables. Únicamente entre un 5 por 100 y un 10 por 100 de las recomendaciones pueden no ser aplicables en función de la naturaleza de la organización, por lo que las respuestas de controles no aplicables realmente reflejan problemas de desconocimiento más que de no aplicabilidad.
      • El nivel de desconocimiento de los distintos aspectos que condicionan la seguridad es también más alto de lo que cabía esperar.

      La «cultura de la seguridad» estudiada, pues, bajo los prismas del usuario y de las empresas, revela sobre todo un alto grado de desconocimiento.

      Una de las formas de explicar el porqué de esta poca cultura de la seguridad en Internet podría ser el factor «histórico» del uso de Internet en la empresa. Si nos remontamos a hace siete u ocho años, el inicio de la popularización de Internet, es fácil recordar lo que ofrecían las empresas suministradoras de servicios Internet: conexión, correo electrónico y páginas web.

      Si bien es cierto tanto lo primero como lo segundo, la evolución ha sido muy pequeña: los conceptos son los mismos, se ha mejorado en calidad, velocidad y precio, no ha ocurrido así con las páginas web.

      En aquellos tiempos se ofrecía a la empresa la oportunidad de estar presente en Internet, se ofrecía el diseño de unas páginas y el hosting de éstas en los servidores. En el fondo se estaba ofreciendo la publicación de unos folletos de la empresa en un nuevo medio. Las reflexiones sobre la seguridad para las páginas web en aquellos tiempos eran inexistentes e innecesarias. ¿Qué nivel de seguridad tienen los folletos en papel? Ninguna. ¿Qué nivel de seguridad deberían tener los folletos digitales? Seguramente que algo más, pero realmente no era necesaria y los costes de ésta eran importantes.

      Por lo tanto, se parte de un inicio donde la seguridad en la red, en el «comercio electrónico» no era un elemento importante.

      A partir de esta primera fase, las empresas empezaron a sofisticar sus web, iniciaron el comercio electrónico más o menos interactivo. Se pasó de la simple publicación de folletos electrónicos a unos sistemas más sofisticados, donde el posible cliente podía ponerse en contacto con la empresa para hacer ciertos pedidos.

      Éstos en muchos casos eran formularios o bien correos electrónicos. En aquellos momentos tampoco se dio mucha importancia a la seguridad por dos motivos: primero, el volumen de transacciones era bajo y, en segundo lugar, se asimilaba la forma de realizar estas transacciones a la compra por teléfono. Y para la compra por teléfono, ¿qué niveles de seguridad se pedían?, realmente pocos.

      Durante la que podríamos llamar tercera fase, las empresas empezaron a automatizar los procesos de pedidos y de pagos. Aquí el tema de seguridad ya era importante por dos motivos: primero era necesario conectar las páginas web a los sistemas de gestión de las empresas, y por lo tanto era básico poder garantizar la confidencialidad de la información y poner barreras a los posibles intrusos. En segundo lugar era importante poder garantizar la identidad de quien compraba, puesto que el sistema de pago iba asociado a la transacción.

      Pero ¿qué ocurría?, se partía ya de entornos desarrollados y en explotación. Se modificaban estos y se debía incorporar la seguridad a ellos. Esto hizo que en muchos casos, por cuestión de costes, no se implementaran todas las medidas de seguridad necesarias.

      Y al final ¿qué tenemos?, pues un conjunto de comercios con unos niveles de seguridad no óptimos, y nos quejamos de la seguridad en la red. A nadie se le ocurriría abrir una tienda sin las mínimas medidas de seguridad, a nadie se le ocurriría crear una empresa sin alarmas, sin seguro, etcétera. Pero estas mismas personas y empresas, debido a las razones «históricas» antes mencionadas tienen empresas y tiendas sin el nivel de seguridad adecuado.

      La tecnología existe, los costes de aplicar estos sistemas de seguridad son, en la mayoría de los casos, muy inferiores a los costes de implementar las mismas medidas en una tienda o empresa física.

      No parece ser el caso español—un caso aislado en el marco europeo— aunque sí puede deducirse que en entornos tecnológicamente más avanzados o con grados de adopción de las tecnologías Internet más maduros, la resistencia de los compradores por la sensación de inseguridad disminuye.

      Según un estudio elaborado por las cámaras de comercio [2] a partir de datos de la Comisión Europea, y analizando diversos sectores desde la perspectiva de ocho grandes líneas argumentales, se comprueba una cierta correlación en los resultados entre los aplicables a España y los aplicables al conjunto de Europa (ver Gráfico 4).

      Para el conjunto de los sectores, de todos los obstáculos analizados, al que conceden mayor importancia los empresarios españoles es a la reticencia de los consumidores a realizar compras electrónicas, mientras que para los empresarios europeos la barrera más importante es que algunos bienes y servicios no se venden electrónicamente.

      Tanto para los empresarios españoles como para los empresarios europeos, las trabas que dificultan menos las ventas electrónicas son los problemas que pueden generarse en los procesos de entrega y de pago electrónico.

      Por todo lo dicho, puede concluirse que los usuarios españoles desconfían de las posibilidades transaccionales de Internet, y esta desconfianza es percibida también por los empresarios que se enfrentan a ésta como una más de las muchas dificultades que conlleva sacar adelante un negocio en el que la vertiente electrónica sea relevante.

      Qué necesita una empresa para hacer comercio electrónico seguro en la red: garantizar la identidad, integridad, confidencialidad y no repudio de las transacciones

      Internet, en tanto que red abierta, permite una comunicación interactiva entre los diferentes agentes que posiblemente no habían tenido ninguna relación anteriormente. Estas redes están siendo utilizadas por empresas que quieren sacar partido de la apertura de la red, disminución de los costes, los entornos de trabajo compartido, el acceso a nuevos mercados, etcétera. Pero para lograr con éxito todos estos propósitos el entorno Internet tiene que ser seguro.

      Desde el inicio de los negocios, y más concretamente de las transacciones comerciales, ha existido la preocupación del conocimiento que uno de los agentes podía tener sobre el otro antes de realizar un negocio. Siempre han existido dudas sobre la identidad de la empresa, su solvencia, etcétera. Toda esta situación se ha ido solucionando mediante diferentes medios tales como los registros de las sociedades, los certificados de origen, los informes comerciales, etcétera.

      Pero desde la introducción del comercio y de los negocios dentro del mundo de las telecomunicaciones, y especialmente dentro de Internet, ha vuelto a tomar protagonismo esta problemática, puesto que en el mundo virtual muchas de las soluciones planteadas en el mundo real no tienen sentido o bien hay que implementar nuevas funciones intrínsecas del mundo de las telecomunicaciones.

      Autenticación del emisor

      Es necesario autentificar que quien realmente está enviando un mensaje, una factura, una cuenta bancaria, etcétera, es realmente quien dice que es. Esto en el mundo real no es tan complicado ya que con la presentación de unos poderes, con la firma manuscrita, la presencia física, etcétera, se soluciona la cuestión.

      Seguridad de que la información transmitida sólo pueda ser leída, escuchada, alterada, etcétera, por el receptor

      Éste es el segundo problema que se encuentra en el mundo virtual. Aquí puede haber escuchas e interferencias en el envío de la información que pongan en duda el negocio realizado.

      Autenticación del receptor

      Al igual que con el emisor hay que autentificar que quien está recibiendo el mensaje es quien realmente ha de ser y no hay suplantación de identidad con objetivos tan diversos como la obtención de información confidencial, la realización de transferencias bancarias, etcétera.

      Garantía de atribuibilidad  de las operaciones

      Hay ciertas operaciones en las que es necesario que tanto el receptor como el emisor tengan constancia de que la operación se ha realizado, y que esta constancia tenga validez ante un tercero.

      Un individuo, cuando entra en Internet, puede navegar por diferentes servicios puestos en la red por terceras organizaciones, sin que estos organismos sepan quien está accediendo a sus páginas. Desaparece su identidad física para pasar a ser un ente invisible que puede «fisgar» por todas partes sin ser visto.

      En el supuesto de que una persona quiera comprar algunos productos en una denominada «tienda virtual», un lugar o web en Internet donde se ofrecen productos y se pueden comprar mediante solicitud por la misma red, el problema que se plantea es el siguiente: ¿quién es el que pide este producto y dice que paga con un número de tarjeta de crédito?, ¿es quien dice ser o se trata de una suplantación o falsificación de identidad? Se ha de tener en cuenta que un cargo en una tarjeta sin la firma del propietario crea una inseguridad en muchos casos insostenible para el vendedor, ya que el importe puede ser devuelto a requerimiento del titular hasta 6 meses después sin ningún tipo de impedimento.

      Por otra parte está el tema de la transmisión de mensajes con seguridad, tanto de la identidad del emisor y del receptor, como del contenido del mensaje. Es relativamente fácil «pinchar» líneas de comunicación y «escuchar» los mensajes que se envían, alterar su contenido, o emular cuentas de correo electrónico de otras personas o entidades (enviar correo engañando al receptor sobre la identidad del emisor).

      Y, por último, tenemos el problema del que vende el producto, ¿realmente es quien dice que es o es alguien que intenta conseguir números de visas para poderlos utilizar posteriormente como comprador en otras tiendas?

      3. El certificado digital

      Desde diferentes organismos internacionales se ha estado trabajando para solucionar estos problemas y se ha definido lo que debería ser la «identidad digital», que no es más que un sistema de seguridad por certificados algo así como un DNI digital, es decir un identificador único dentro de la red que permita a su poseedor ser identificado como tal dentro de la misma con el fin de realizar un conjunto de acciones determinadas (firmar un documento, entrar en lugares restringidos, identificarse ante una administración, etcétera).

      Los certificados son una herramienta imprescindible para garantizar la autenticidad del emisor y del receptor así como la integridad de la información transmitida, por tanto, hay que certificar a las empresas y a los servido res de comercio electrónico. Esto implica tener directorios de claves públicas, listas de revocación, sellos de tiempo y reglas operativas. Esto significa que existe una complejidad técnica y unos requisitos de seguridad que cualquier servidor de certificados debería cumplir. En este sentido, la Comisión Europea ha emitido una normativa específica que regula las entidades emisoras de certificados, especialmente en todos aquellos aspectos relacionados con dar las garantías necesarias a los usuarios de estos certificados a la hora de utilizarlos: seguridad, fiabilidad, estandarización, etcétera.

      Uno de los aspectos más importantes dentro de este tipo de identidad digital es la entidad que emite este certificado, es decir, una vez que una empresa se identifica dentro de la red con un certificado digital, las otras partes tienen la seguridad de que esta empresa es realmente quien dice ser pues hay una tercera parte de confianza (la entidad emisora del certificado) que es quien da fe (certifica) de que es realmente quien dice ser. Por lo tanto, aunque en Internet podemos encontrar documentos firmados con certificados digitales, la validez de esta firma dependerá de quien ha emitido realmente el certificado, o dicho de otro modo, ¿tiene nuestra confianza el emisor del certificado a fin de identificar a la segunda parte? Un ejemplo en el mundo real sería comparar un documento identificativo como podría ser un DNI emitido por el Ministerio del Interior con un carnet de socio de un determinado club. Evidentemente los dos documentos identifican a una persona, pero uno tendrá una validez diferente a la del otro y, sin duda, el primero tendrá un mayor reconocimiento ante un desconocido que el segundo, aunque solamente con el segundo se pueda acceder a las instalaciones del club.

      Existen ya diversas entidades que han empezado a emitir algún tipo de certificado. Se basan en pedir un informe de la existencia de la entidad que solicita la identidad, y le dan su clave privada. La cuestión es la aceptación del sistema de manera global, ya que no existe un estándar consensuado entre las diversas empresas que realizan el servicio y algunas pueden tener problemas de credibilidad por los escasos requisitos que solicitan, por el poco prestigio que puedan tener fuera de su demarcación territorial, etcétera.

      4. Hacia la confianza internacional

      Las cámaras de comercio son sensibles a las barreras que tienen que gestionar las empresas y desde hace varios años desarrollan a nivel internacional diversas iniciativas que contribuyen a que disminuyan esas cargas.

      En este sentido, dos iniciativas relevantes son ChamberTrust y ChamberSign.

      ChamberTrust

      El sello de confianza ChamberTrust (ver Figura 1) se otorga a las empresas a través de la Cámara de Comercio a la que pertenecen y permite su inclusión en un directorio mundial que incorpora ciertos datos de la empresa para promover la confianza en su relación con otras empresas a nivel internacional.

      El sello Chambertrust está auspiciado por la Federación Mundial de Cámaras (WCF). La Federación Mundial de Cámaras (WCF) es la división especializada de la CCI (Cámara de Comercio Internacional) para sus cámaras de comercio miembros en todo el mundo. La WCF era anteriormente conocida como la Oficina Internacional de Cámaras de Comercio (IBCC).

      A través de su red global de apoyo, la WCF permite a las Cámaras de todo el mundo intercambiar experiencias y mejorar su desempeño en áreas como finanzas, dirección y desarrollo y promoción de servicios.

      La WCF trabaja estrechamente con organizaciones multilaterales de apoyo, como el Grupo del Banco Mundial y el Programa de las Naciones Unidas para el Desarrollo (PNUD), en proyectos de desarrollo de capacidad. Todas las Cámaras que son miembros de la CCI son automáticamente miembros de la WCF. En la actualidad, Cámaras de más de 140 países son miembros de la CCI.

      La institución cameral, con más de 400 años promoviendo la confianza a nivel internacional, está especialmente cualificada para promover iniciativas como el sello ChamberTrust.

      A modo de herramienta de marketing, el principal objetivo de ChamberTrust es ayudar a seleccionar socios, compradores y/o proveedores verificando para ello la existencia real de la compañía, sus actividades y sus productos, así como el propietario real del sitio web. Con un motor de búsqueda y un portal, ayuda a las empresas a atraer socios de negocios potenciales mediante bases de datos internacionales que incluyen la posibilidad de realizar búsquedas por actividad y por productos declarados por estas empresas.

      Gracias a la imagen neutral e independiente de las cámaras de comercio, Industria y Navegación esta herramienta ofrece mayores y mejores oportunidades de contacto al incrementar el impacto y la visibilidad de las empresas en la red. De esta forma, ChamberTrust ayuda a las compañías a destacar entre la competencia y a ser seleccionadas por posibles socios de negocios.

      ChamberSign

      En 1999, Eurochambres y diez de sus organizaciones camerales de Alemania, Bélgica, Francia, España, Holanda, Italia, Luxemburgo, Reino Unido y Suecia establecieron la organización internacional ChamberSign (ver Figura 2), cuyo objetivo primordial consistía en proporcionar la interoperabilidad de las firmas electrónicas utilizadas por las empresas europeas (certificadas por las cámaras de comercio) para promover las relaciones empresariales transfronterizas que hicieran uso del comercio electrónico.

      Las organizaciones camerales involucradas representan 579 cámaras de comercio próximas a las empresas, con una cobertura de más de 13 millones de tales empresas, muchas de las cuales son PYMES. El sistema pretende atraer otras organizaciones camerales de todo el mundo, de forma que se refuerce el concepto de red global cameral de firma electrónica.

      Las cámaras de comercio han sido las primeras instituciones en adoptar e impulsar los estándares europeos que permiten, al amparo de la Directiva 1999/93/CE del Parlamento Europeo y el Consejo del 13 de diciembre por la que se establece un marco comunitario para la firma electrónica [3], expedir Certificados Reconocidos

      (nombre de la versión española de la Directiva del término Qualified Certificates que hubiera sido mejor traducir por «Certificados Cualificados» ya que el término adoptado introduce confusión al haber sido utilizado también en las normas españolas, y sólo en ellas).

      La gestión de este tipo de certificados por las Cámaras uniformiza a nivel europeo el esquema de presunciones por el que se establece la equivalencia funciona entre la firma electrónica y la firma manuscrita.

      5. La confianza en España

      En esta misma línea, y con el objetivo de hacer Internet y el Comercio Electrónico más seguro, las cámaras de comercio pusieron en marcha, en julio de 2000, una iniciativa para garantizar la identidad de las empresas españolas que realicen Comercio Electrónico. Dicha iniciativa se estructuró en forma de sociedad anónima: AC Camerfirma S.A. es la primera CA que establece su prioridad en la emisión de certificados personales que señalan la relación entre una persona y una empresa, bien como empleado, bien como apoderado. A lo largo de su actividad establece la red de entidades de inscripción (RA) más tupida de España al contar con 45 cámaras de comercio (de un total de 85) capaces de desempeñar los trabajos de verificación de identidad asociados a dicha función.

      En junio de 2001 comienza sus actividades Firmaprofesional, participada por AC Camerfirma y los Colegios Oficiales de Médicos, Farmacéuticos y Arquitectos de Cataluña. Su vocación es la de desarrollar los servicios de certificación de todos los Colegios Profesionales, atendiendo a la potestad que sólo estos tienen de acreditar quién es colegiado, tras verificar que se cumplen los requisitos para ello. Es un modelo que busca optimizar el esquema de costes a base de replicar en diferentes colegios el exigente entorno técnico y operativo capaz de satisfacer todos los requisitos legales, y conociendo en profundidad sus necesidades.

      6. Contexto legal de la certificación en España

      El desarrollo de los mecanismos de confianza en torno a la certificación ha atravesado una etapa compleja y de escaso valor, que ha requerido de un gran esfuerzo por parte de las cámaras de comercio.

      El Real Decreto-Ley 14/1999, de 17 de septiembre, por el cual se regula el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación, y la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, han sido instrumentos de escaso valor que ha sido preciso interpretar a la luz de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. Es decir, hasta la reciente publicación de la Ley 59/2003, de 19 de diciembre, de firma electrónica [5], ha tenido más valor para la actividad de los prestadores de servicios de certificación la Directiva, que la ley y el reglamento que la transponían.

      Entre los motivos que condujeron a ello cabe citar las contradicciones respecto a la Directiva y la falta de desarrollo de los medios para poder cumplir los requisitos que se establecían, ya que no era posible inscribir al prestador de servicios de certificación en un registro que no se llegó a crear, ni evaluar a los prestadores de servicios de certificación, puesto que no existía ni la normativa de evaluación ni las entidades evaluadoras.

      A partir de esta situación legal de partida tan dificultosa para la prestación de servicios de certificación digital en el ámbito privado, la Orden del Ministerio de Hacienda HAC/1181/2003, de 12 de mayo, y la reciente Ley 59/2003, de 19 de diciembre, de firma electrónica, han venido a impulsar el sector de la certificación.

      Efectivamente, la nueva ley determina que será el Ministerio de Ciencia y Tecnología el que establecerá el reconocimiento de los prestadores de servicios de certificación y dará por finalizado un período en el que se ha producido una amplia normativa de menor rango con criterios muy diversos en lo que se refiere a dicho reconocimiento. La nueva situación legal dará las mismas oportunidades a los distintos proveedores de certificación digital, y permitirá el desarrollo de otros prestadores alternativos.

      7. Usos de los certificados para firma electrónica

      La seguridad de las transacciones se consigue a través de mecanismos que favorecen la confidencialidad de las comunicaciones o la autenticación de los intervinientes.

      Para ello, los extremos de la comunicación tienen que estar dotados de los mecanismos técnicos que posibiliten el uso de la criptografía y de los certificados.

      La panoplia de servicios posibles es extensa, éstos son algunos de los usos:

      Cifrado

      Los sistemas de clave pública permiten el cifrado de los datos utilizando la clave pública del destinario. De esta forma, únicamente el destinatario—poseedor de la clave privada— podrá acceder a la información.

      Firma en algunas aplicaciones de amplio uso

      El impulso de la firma electrónica en los últimos años ha motivado que las principales empresas de desarrollo de software hayan adaptado sus aplicaciones a las tecnologías de PKI. Entre estas aplicaciones debemos destacar la posibilidad de firmar disponibles en las aplicaciones que integran el Office XP y la solución de Adobe para la firma de PDF con el Acrobat.

      Factura telemática

      El impulso definitivo de la facturación telemática viene de la mano de la Orden HAC/3134/2002 y en especial de la reciente Resolución 2/2003, de 14 de febrero, del Director General de la Agencia Estatal de Administración Tributaria.

      Relaciones con la Agencia Tributaria

      Es sin duda en el ámbito Tributario donde se han conseguido los mayores avances en la denominada Administración on-line, e-Administración o e-Goverment, pudiendo realizarse en la actualidad un gran número de actos con la AEAT, entre los que destacan especialmente los relativos a la presentación de declaraciones de carácter tributario y, entre ellos los referentes a los tributos del IRPF, IVA, Sociedades, Patrimonio, Aduanas e Impuestos Especiales.

      Partes de accidentes de trabajo

      El proyecto Delt@ es una iniciativa del Ministerio de Trabajo para facilitar la presentación de los partes de baja laboral por medios telemáticos.

      Toma de decisiones en juntas universales

      La reciente Ley 26/2003, de 17 julio, por la que se modifican la Ley 24/1988, de 28 de julio de 1988, del Mercado de Valores, y el texto refundido de la Ley de Sociedades Anónimas, aprobado por el Real Decreto Legislativo 1564/1989, de 22 de diciembre de 1989, con el fin de reforzar la transparencia de las sociedades anónimas cotizadas define y promueve la posibilidad de que los accionistas puedan votar de forma electrónica en las Juntas. Ésta es sólo una de las posibilidades de votación, que pueden extenderse a todo tipo de procesos electorales o referéndums que podrán ser realizados de manera rápida y segura y de forma on line mediante la utilización de certificados digitales.

      Contratación telemática

      La aún reciente Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, regula en el título IV la contratación por vía electrónica. La aportación de una prueba cualificada de la celebración de los contratos electrónicos se configura como un elemento fundamental en este tipo de relaciones, por lo que la utilización de la firma electrónica en general y de los certificados Camerfirma en especial, se perfila como un elemento prácticamente indispensable a la hora de contratar por estos medios.
      Servicios que requieren control de identidad en el e-Commerce

      Todos los servicios ofrecidos de forma on line y que requieran una correcta identificación del usuario podrán beneficiarse de la firma electrónica y de los certificados digitales. Mediante la utilización de certificados digitales, cuando un usuario accede por ejemplo a un Market Place, el sistema podrá controlar y limitar su forma de acceso en función de la persona que se lo presente, pudiendo además firmar los pedidos que realice a modo de prueba de compra y contratación electrónica.

      Además de los usos anteriormente citados, se pueden señalar también los siguientes: firma de escritorio, seguridad del correo electrónico, SSL, control de acceso en las web e intranet, cumplimiento de niveles altos LOPD con SSL, e-Commerce financiero,
      etcétera.

      8. Conclusiones

      Las estadísticas muestran como común denominador el desconocimiento de los usuarios cuando desconfían de Internet como plataforma de realización de transacciones y el de las empresas cuando no son conscientes de las ventajas que tiene la adopción de medidas de seguridad o lo catastrófico que puede ser no contar con ellas.

      Las cámaras de comercio, teniendo en cuenta las tecnologías existentes, promueven soluciones técnicas para reforzar la seguridad de las transacciones y desarrollan un gran esfuerzo de difusión y formación entre las empresas.

      Todo ello orientado hacia un objetivo de competitividad de las empresas y ciudadanos españoles en un complejo mundo virtual en el que no es asumible ningún retraso en relación con los países de nuestro entorno.

      Referencias bibliográficas

      [1] ASIMELEC (2003): Estudio sobre el estado actual de la seguridad de los sistemas de la información en las empresas entrevistadas, de acuerdo con la Norma ISO/IEC17799:2000.
      [2] CÁMARAS DE COMERCIO (2003): Estudio sobre las Barreras Sectoriales para la Venta Electrónica.
      [3] DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica, Diario Oficial de las Comunidades Europeas, 19-1-2000.
      [4] ESTUDIO COMERCIO ELECTRÓNICO B2C EN ESPAÑA, VENTAS AL CONSUMIDOR-B2C, AECE-fecemd 2003.
      [5] LEY 59/2003, de 19 de diciembre, de firma electrónica, BOE de 20 de diciembre de 2003.

      Especificación AEAT para consulta de certificados revocados (YCAESTEC)

      1 respuesta

      En el marco de la normativa de la AEAT sobre aceptación de certificados electrónicos, la agencia ha definido un protocolo muy sencillo (denominado ycaestec por ser el nombre de la página html en la que se describe).

      La Y no se de donde sale, aunque es la misma letra con la que comienza YCAREQUI, la descripción de requisitos de los certificados que acepta la AEAT (CAREQUI puede significar Requisitos para las CA), de modo que YCAESTEC puede significar Especificaciones Técnicas de las CA.

      Especificaciones técnicas del servicio Web de actualización de certificados revocados

      El servicio deberá estar basado en el protocolo SOAP 1.0. La A.E.A.T. accederá a este servicio como cliente solicitando los certificados revocados a partir de una fecha y hora. La autoridad de certificación devolverá una lista con los certificados revocados o el código que indique que no se han producido revocaciones desde la fecha y hora solicitada.

      Descripción del servicio.

      Nombre

      El nombre del servicio será serPubCR (Servicio Público de Certificados Revocados).

      Tipos

      Se define un nuevo tipo, ArrayOfArrayOf_xsd_string, fuera de los definidos en la especificación de XML Schema, que SOAP adopta. Este tipo será un array de cadenas de dos dimensiones (xsd:Array[][]) la primera dimensión contendrá la fecha de revocación (Formato ISO-8601 con las restricciones de W3C descritas en http://www.w3.org/TR/NOTE-datetime y la granularidad 6 (fecha completa con horas, minutos, segundos y décimas de segundo, e.g 2003-05-15T23:11:32.45) y la segunda contendrá el número de serie del certificado revocado (Este número de serie se expresará en notación hexadecimal, no debiendo superar los 32 caracteres hexadecimales). El array deberá contener al final del mismo la cadena «FINAL» en las dos dimensiones.

      Este tipo se utiliza en el mensaje de respuesta de la operación desdeFecha del servicio.

      Mensajes

      Estructura del mensaje de petición:

      • Nombre, desdeFechaRequest: Obtención de los certificados revocados a partir de una fecha, con dos parámetros:
        • In0 (xsd:string) : Autoridad de certificación a la que se envía el mensaje.
        • In1 (xsd:dateTime) : Fecha y hora a partir de la cual se desean los certificados revocados. Formato ISO-8601 con las restricciones de W3C descritas en http://www.w3.org/TR/NOTE-datetime y la granularidad 6 (fecha completa con horas, minutos, segundos y décimas de segundo, e.g 2003-05-15T23:11:32.45)

      Estructura del mensaje de respuesta

      • Nombre, desdeFechaResponse: Consta de dos campos, uno con el nombre de la AC que emite la respuesta y otro con la lista de certificados revocados según el tipo ArrayOfArrayOf_xsd_string definido anteriormente.
        • Out0 (xsd:String) : Autoridad de certificación que devuelve la respuesta.
        • Out1 (ArrayOfArrayOf_xsd_string) : Lista de los certificados revocados desde la fecha y hora indicada en el mensaje de petición.

      Operaciones

      Este servicio se compone de una única operación.

      • Nombre desdeFecha: que se compone de los dos mensajes siguientes:
        • Mensaje de petición: desdeFechaRequest
        • Mensaje de respuesta: desdeFechaResponse

      Enlaces

      Todas las operaciones utilizarán el formato RPC de SOAP. El cuerpo (body) de la petición SOAP deberá incluir un elemento que indique el tipo de función (operación) a ejecutar y otros elementos para los parámetros de la función. Las respuestas a su vez deberán tener un elemento que emule la función de petición e incluya los valores de retorno. A su vez el mensaje SOAP se encapsulará en un mensaje HTTPS

      Todas las operaciones tendrán como espacio de nombres ‘urn:dit:soapservices:serPubCR’ y utilizará la codificación SOAP http://schemas.xmlsoap.org/soap/encoding para llamadas remotas a procedimientos (RPC).

      Ejemplos de mensajes SOAP

      Mensaje de petición

      <?xml version="1.0" encoding="IS0-8859-1"?>
<SOAP-ENV:Envelope
	xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body>
	<ns1:desdeFecha xmlns:ns1="urn:dit:soapservices:serPubCR"
		xmlns:ns2="http://schemas.xmlsoap.org/soap/encoding/"
		SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
		<in0 xsi:type="xsd:string">CAGVA</in0>
		<in1 xsi:type="xsd:date">2003-05-15T23:00:03.23</in1>
	</ns1:desdeFecha>
</SOAP-ENV:Body>
</SOAP-env:Envelope>

      Mensaje de respuesta

      (Respuesta correcta)

      <?xml version="1.0" encoding="ISO-8859-1"?>
<SOAP-ENV:Envelope
	xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body>
	<ns1:desdeFechaResponse xmlns:ns1="urn:dit:soapservices:serPubCR"
		SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
	<return>
	<out0 xsi:type="soapenc:String>CAGVA</out0>
	<out1 xsi:type="soapenc:Array"
		soapenc:arrayType="xsd:string[][193]"
		xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/">
		<item soapenc:arrayType="xsd:string[2]">
			<item>
			2003-06-16T09:29:27.00
			</item>
			<item>
			25B20688E
			</item>
		</item>
		<item soapenc:arrayType="xsd:string[2]">
			<item>
			2003-06-23T09:29:27.00
			</item>
			<item>
			25B206890
			</item>
		</item>
               .
               .
               .
		<item soapenc:arrayType="xsd:string[2]">
			<item>
			FINAL
			</item>
			<item>
			FINAL
			</item>
		</item>
	</out1>
	</return>
	</ns1:desdeFechaResponse>
</SOAP-ENV:Body>
</SOAP-env:Envelope>

      (Respuesta errónea)

      <?xml version="1.0" encoding="ISO-8859-1"?>
<SOAP-ENV:Envelope
	xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body>
	<SOAP-ENV:Fault>
		<faultcode xsi:type="xsd:string">SOAP-ENV:Client</faultcode>
		<faultstring xsi:type="xsd:string>
			Error en el formato de la fecha. Formato válido 
			ISO-8601
		</faultstring>
	</SOAP-ENV:Fault>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>

      NOTAS

      1.- Documento WSDL de descripción del servicio SOAP.

      <?xml version="1.0" encoding="UTF-8"?>
<wsdl:definitions targetNameSpace="urn:dit:soapservices:serPubCR"
	xmlns:impl="urn:dit:soapservices:serPubCR"
	xmlns:soapenc="http://schemas.xmlsoap.org/soap/soapencoding/"
	xmlns:wsdlsoap="http://schemas.xmlsoap.org/wdslsoap/"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns="http://schemas.xmlsoap.org/wsdl/">

<wsdl:types>
	<schema xmlns="http://www.w3.org/2001/XMLSchema/"
		targetNameSpace="urn:dit:soapservices:serPubCR">
		<import namespace="http://schemas.xmlsoap.org/soap/encoding/" />
		<complexType name="ArrayOfArrayOf_xsd_string">
			<complexContent>
				<restriction base="soapenc:Array">
					<attribute ref="soapenc:arrayType" wsdl:arrayType="xsd:string[][]" />
				</restriction>
			</complexContent>
		</complexType>
	</schema>
</wsdl:types>

<wsdl:message name="desdeFechaRequest" >
	<wsdl:part name="in0" type="xsd:string" />
	<wsdl:part name="in1" type="xsd:dateTime" />
</wsdl:message>
<wsdl:message name="desdeFechaResponse">
	<wsdl:part name="out0" type="xsd:string" />
	<wsdl:part name="out1" type="impl:ArrayOfArrayOf_xsd_string" />
</wsdl:message>

<wsdl:portType name="desdeFecha_servPubCR">
	<operation name="desdeFecha">
		<input name="desdeFechaRequest" message="impl:desdeFechaRequest" />
		<output name="desdeFechaResponse" message="impl:desdeFechaResponse" />
	</operation>
</wsdl:portType>

<wsdl:binding name="serPubCR_Bind" type="impl:desdeFecha_servPubCR">
	<wdslsoap:binding stype="rpc"  transport="http://schemas.xmlsoap.org/soap/https" />
	<wsdl:operation name="desdeFecha" soapAction="">
		<wsdl:input name="desdeFechaRequest">
			<wsdlsoap:body use="encoded" 
				encodingStyle="http://schemas.xlsoap.org/soap/encoding/"
				namespace="urn:dit:soapservices:serPubCR" />
		</wsdl:input>
		<wsdl:output name="desdeFechaResponse">
			<wsdlsoap:body use="encoded" 
				encodingStyle="http://schemas.xlsoap.org/soap/encoding/"
				namespace="urn:dit:soapservices:serPubCR" />
		</wsdl:output>
	</wsdl:operation>
</wsdl:binding>

<wsdl:service name="serPubCR">
	<wsdl:port name="desdeFecha_servPubCR"
		binding="impl:serPubCR_Bind">
		<wsdlsoap:address
			localtion="http://..../.../.../serPubCR" />
	</wsdl:port>
</wsdl:service>

</wsdl:definitions>

      2.- Cabecera SOAPAction

      No deberá ser obligatoria y si se utiliza, podrá ir a blanco.

      Firma electrónica y servicios de certificación electrónica

      Deja un comentario

      El pasado 29 de octubre de 2003 tuvo lugar en la sede de la Editorial El Derecho un encuentro propiciado por la editorial junto con la Asociación Española de Derecho y Propiedad Intelectual (AEDPI), en la que tuve la oportunidad de participar, para debatir sobre un tema innovador y de  actualidad: La firma electrónica y los servicios de certificación.

      Se incluye a continuación el resumen publicado en la  Revista de la Asociación de Antiguos Alumnos – Centro de Estudios Garrigues en su número de diciembre de 2003

      Asistieron a este debate  José Luis Terrero Chacón, Magistrado de la Audiencia Nacional y miembro del Consejo Editorial del El Derecho Editores; José Daniel Sanz Heredero, Letrado jefe de la Sección de informática Judicial del C.G.P.J. y Magistrado de la Sala Contencioso Administrativa del T.S.J. de Madrid; César Belda Casanova, Director General de la Fundación para el Estudio de la Seguridad en las Comunicaciones (FESTE) y vocal de la Comisión de Control Informático del Colegio de Notarios; José María Anguiano Jiménez, Socio responsable de Nuevas Tecnologías de la firma Garrigues y Secretario General de la AEDPI; Julián Inza Aldaz, Director General de AC Camerfirma, S.A. y, como moderador del debate, intervino Alfonso García Catalán, Jefe del Área de Calidad y Desarrollo Estratégico (CERES) Fábrica Nacional de Moneda y Timbre.

      En este apasionante debate se valoraron los aspectos más significativos del nuevo Proyecto de Ley de firma electrónica, que sustituirá al prematuro Real Decreto Ley 14/1999, aprobado tres meses antes que su norma rectora: la Directiva Comunitaria 1999/93/CE.

      El nuevo marco normativo de la firma electrónica

      Coincidieron los presentes  en la creencia de que el nuevo marco normativo, claramente influido por una política liberalizadora, pone fin, en palabras de César Belda, a una situación de facto de monopolio de la Fábrica Nacional de Moneda y Timbre para abrir la entrada a otros operadores en el mercado de la certificación.

      La clave del éxito –según José María Anguiano– descansará en las propias prácticas y políticas de los Prestadores de servicios de certificación (PSC). Se generará, explicó, un auténtico mercado basado en la confianza, donde resultarán favorecidas las entidades que cuenten con mecanismos de confianza sólidos que las avalen.

      La firma electrónica: su necesidad

      Sobre la necesidad, o no, de la firma electrónica, José Luis Terrero afirmó que “la prueba seguirá siendo prueba, ya esté el documento firmado electrónicamente o mediante un grafismo”, de forma que, continuó diciendo, “al final un correo electrónico se puede convertir a fin de cuentas –de no impugnarse por la parte a quien perjudica- en un documento que despliegue con todo su vigor efectos probatorios, al igual que otro basado en tecnología de firma electrónica con criptosistemas asimétricos”.

      En relación a este particular, Julián Inza consideró que no debe ser siempre necesaria la certificación. En este sentido, precisó, el cruce de correos electrónicos con personas conocidas, implica, la mayoría de las veces, para el destinatario una presunción de validez de la autoría del mensaje recibido.

      El problema surge, explicó Julián Inza, en determinadas ocasiones, cuando el negocio jurídico o la declaración de voluntad inserta en el documento electrónico pretende vincular al autor de la misma frente al receptor, ya que de impugnarse el documento en sede judicial resultaría sencillo acreditar por un perito la falsificación de un e-mail, porque las técnicas con las que contamos en la actualidad lo permiten y, por ende, la posibilidad de diseñar éste a la medida de quien interese.

      La eficacia probatoria de la firma electrónica

      En el contexto del debate resultaba obligado abordar la eficacia probatoria de la firma electrónica.

      Los efectos probatorios que en el marco del proceso pueda desplegar una firma electrónica están influidos por clase o tipo de firma, puesto que la redacción del nuevo ordinal tercero del artículo 326 de la ley de Enjuiciamiento Civil (LEC) remite a la Ley de firma electrónica que diferencia sus variantes.

      Cuando la parte a quien interese la eficacia de un documento electrónico lo pida o se impugne su autenticidad, se procederá con arreglo a lo establecido en el artículo 3 de la Ley de Firma Electrónica

      En este sentido, el artículo 3 del Proyecto comienza por dar una definición in genere del concepto de firma electrónica: “conjunto de datos en forma electrónica consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”.

      Configura, además, dentro de este concepto otra clase de firma: la electrónica avanzada –en adelante F.E.Av.– entendida como “la que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados-, que está vinculada al firmante de manera única y a los datos a que se refiere y por haber sido creada por medios que el firmante puede mantener bajo su exclusivo control.

      Por último, y como novedad, la Ley acuña el término firma electrónica reconocida –en adelante F.E.Rec.- (que se podría haber traducido como cualificada si se respetara el término en inglés de la Directiva de la que trae causa) para referirse a: ”la firma electrónica avanzada basada en un certificado reconocido (cualificado) y generada mediante un dispositivo seguro de
      creación de firma”que “tendrá respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los datos consignados en el papel”.

      De tal manera que, reconocida la eficacia probatoria de toda clase de documentos firmados electrónicamente, públicos y privados, según avanza el Proyecto de Ley (en su artículo 3.5), el soporte en el que figuren los datos firmados electrónicamente será, siempre, admisible como prueba documental en juicio, siendo indiferente el tipo de firma utilizada.

      Por otro lado, será posible defender la autoría de los documentos firmados con F.E.Av., con la proposición de un dictamen pericial conforme al artículo 352 L.E.C. en relación a su correlativo artículo 299.2 de la misma norma.

      Sin embargo, podría ser estéril recurrir a un perito en el caso de que el signatario no utilice ni F.E.Av., ni F.E.Rec., ya que el resultado del dictamen no responderá a las expectativas de la parte que pugna por defender el valor probatorio del documento. Serán entonces las reglas de la sana crítica las que auxilien al Juez para establecer su valoración. Por tanto, el documento firmado con F.E.Rec. tendrá respecto a los datos consignados el mismo valor jurídico que la firma manuscrita (según se indica en el artículo 3.4), por lo que ipso iure se genera una presunción de validez.

      César Belda apostilló que tendrá más valor, incluso, que la firma manuscrita. Esto es así porque en una eventual impugnación por la contraparte, no se precisa un cotejo pericial de letras, y el dictamen pericial demostraría tanto la autenticación de las partes, como la integridad del texto firmado. Por tanto sus efectos serían similares a los desplegados por un documento público, haciendo prueba plena en juicio sin necesidad de comprobación o cotejo salvo prueba en contrario.

      En opinión de César Belda, el juez tendrá, además, que evaluar la diligencia de la entidad de certificación, ya que podríamos encontrarnos ante una usurpación de personalidad en la que un tercero se hiciera pasar por un supuesto signatario, firmando documentos electrónicamente con sus propios datos de creación de firma indebidamente asociados a la identidad usurpada.

      Deberá decaer, al igual, la presunción de validez e imputabilidad del titular de la firma cuando los hechos justifiquen serias dudas de que la declaración se haya realizado conforme a la voluntad del firmante –por ejemplo por haber fallecido en fecha anterior.

      La responsabilidad de los prestadores de los servicios de
      certificación

      Por último, en relación a la responsabilidad de los PSC, José María Anguiano expuso que la redacción actual del Proyecto permite la exoneración de responsabilidades de los prestadores de servicios de certificación.

      César Belda ejemplificó en este sentido que el Proyecto de Ley obliga a que el receptor compruebe -en caso de recibir éste una proposición comercial de una persona jurídica- si ese acto de comercio se encuentra dentro del objeto social de la empresa; de manera que de no comprobar el receptor, esto podría ser causa de exoneración del PSC so pretexto de obviar el destinatario las restricciones del certificado electrónico respecto a sus usos.

      De esta manera, y para concluir, nos encontramos ante una normativa que consagrará la utilización empresarial de las nuevas tecnologías, acrecentará el uso del comercio electrónico por los particulares, facilitará los actos de comunicación con la administración proporcionando seguridad, tanto a las empresas como a los ciudadanos, en la tramitación de sus gestiones, y permitirá, además, una mayor comodidad en las relaciones de abogados y procuradores junto con un mayor dinamismo y celeridad de la resolución de los procedimientos judiciales.