Archivo de la categoría: Prestadores de Servicios de Certificación

La seguridad en las transacciones electrónicas

Deja un comentario

En febrero de 2004 se publicó en una de las revistas ICE (Información Comercial Española) editado por la Secretaría de Estado de Comercio Exterior un artículo que preparé para Fernando Gómez Avilés-Casco. Era en la época en que yo era el Director General de Camerfirma, y él el Presidente.

Con frecuencia se menciona la percepción de falta de seguridad de las transacciones electrónicas por parte de los usuarios como una de las principales barreras para el desarrollo del comercio electrónico. En rigor, al identificar la falta de confianza en el comercio electrónico como concepto más amplio que engloba a la presunción de falta de seguridad, es posible diseñar un conjunto de acciones que contribuyan en varios frentes a crear las condiciones de su desarrollo. Las cámaras de comercio, a nivel internacional y específicamente en España, están contribuyendo con varias iniciativas a suavizar los reparos que hacen dudar a los usuarios. La propia capilaridad de la red cameral permite contribuir en los aspectos formativos al despliegue del conocimiento y de la formación que faciliten las transacciones seguras, especialmente en el ámbito empresarial.

1. Situación actual

Frecuentemente, los estudios que analizan el comportamiento de los particulares acerca del uso de Internet destacan el incremento interanual de internautas (personas que acceden a Internet desde hace algún tiempo) y estudian el comportamiento de los internautas en relación al conjunto de la población. Dentro de los internautas estudian el caso especial de los que compran por Internet, así como las causas de que no lo haga el resto. Uno de estos estudios es el denominado Estudio comercio electrónico B2C en España centrado en las ventas al consumidor – B2C y elaborado por AECE-fecemd en mayo de 2003 [4].

Los datos que arroja el estudio son muy interesantes: sólo el 37,8 por 100 de los entrevistados declara utilizar Internet, por lo que éstos serán posteriormente la base sobre la que se elaboren otras conclusiones. Así y todo el incremento es notable puesto que el año anterior este porcentaje se reducía al 23,1 por 100.

Al preguntarles si compran por Internet, los internautas han respondido que sí en un 19,4 por 100 y que no en un 80,3 por 100. Por ello la representatividad y fiabilidad de los resultados de la encuesta es mayor para el caso de los que no han comprado respecto a los que sí han comprado. Entre las razones para comprar destacan la comodidad, el precio y, por lo general, la experiencia de los usuarios ha sido satisfactoria pues el 97,9 por 100 de los usuarios que han hecho compras por Internet ha declarado que dicha compra ha cubierto sus expectativas «siempre» o «casi siempre».

Sin embargo, al preguntar a quienes no han comprado por Internet las razones para no hacerlo, encontramos destacadamente varias razones relacionadas con la confianza (ver Gráfico 1): «Miedo a dar los datos personales», «desconfianza en el sistema de pago», «inseguridad/desconfianza», «desconfianza en la presentación del producto», «falta de información», «desconfianza en las tiendas existentes».

Aunque muchas veces este tipo de respuestas no son reflexivas y vienen inducidas por la tipificación de respuestas disponibles en la encuesta y por el estado de opinión al que contribuyen los medios de comunicación, no cabe duda que para muchas personas la presunción de que las condiciones asociadas a las compras por Internet no merecen confianza se ha instalado en su acervo cultural, de forma que difícilmente se replantearán si sus presunciones están justificadas.

2. ¿Es seguro el comercio electrónico?

Ésta es una de las preguntas de más actualidad para los empresarios y los consumidores. La respuesta nunca puede ser tajante en ningún sentido, pero en especial en su afirmación. Es un hecho que la seguridad total tiene un coste infinito y, por lo tanto, no es ni será nunca completamente seguro el comercio electrónico, de la misma forma que no lo es ningún tipo de comercio.

De todas formas sería bueno hacer un conjunto de reflexiones: ¿Es seguro volar?, la respuesta varía según a quién se le pregunte y, al final, se acaba respondiendo con expresiones o cifras comparativas: es la forma más segura de viajar, es la que tiene menor porcentaje de siniestralidad, etcétera, en el fondo se acaba recurriendo a la comparación.

Con el comercio electrónico ocurre lo mismo, y al final la pregunta debería ser: ¿es más inseguro el comercio electrónico que el comercio tradicional?

La repuesta tampoco es simple puesto que se compara un comercio con experiencia de siglos con uno de muy reciente creación pero, aún así, me gustaría hacer algunas preguntas que puedan generar reflexión:

«Cuando una empresa pone una tienda ¿pone puertas para limitar su acceso?, ¿pone alarmas para evitar robos?, ¿tienen seguros para casos de siniestralidad?, etcétera», sin duda alguna las respuestas son en su mayoría afirmativas. ¿Se hace lo mismo cuando se pone una tienda o un negocio en la red?, la respuesta a dicha pregunta presenta sin duda muchos más interrogantes que en las anteriores.

Hoy en día se puede afirmar que existen los mecanismos y las herramientas para garantizar un alto nivel de seguridad en la red, mayor incluso que para el negocio tradicional. Existen aseguradoras que ofrecen seguros de responsabilidad civil, de robos, etcétera, existen los firewalls —equivalentes a los guardas de seguridad en la red los cuales permiten el acceso a ciertos usuarios y lo deniegan a otros— existen los certificados digitales —autenticas llaves de seguridad de las puertas virtuales de la tienda electrónica que a la vez permiten garantizar la atribuibilidad de las transacciones— existen los antivirus, un sistema antivandalismo, etcétera.

En definitiva, el uso del comercio electrónico puede ser tan seguro como se desee, se planifique o se invierta en dicha seguridad de la misma forma que se haría en un negocio tradicional.

Pero, ¿cuál es la situación real o cómo se comportan las personas ante esta realidad? En este sentido, es llamativo que cuando las personas tienen que decidir sobre la adopción de medidas de seguridad en las empresas (y contribuir así a un clima más positivo en la percepción de los usuarios) aparentemente no son tan sensibles a las «malas noticias».

El estudio publicado por ASIMELEC en colaboración con el Ministerio de Ciencia y Tecnología en el marco del proyecto «Seguridad de la Información XXI» en el año 2003 [1] menciona un conjunto de estadísticas que deberían inquietar a las empresas:

  • Los incidentes de seguridad se duplican cada año con respecto al anterior.
  • Diariamente se descubren entre2y5 nuevas vulnerabilidades.
  • Los incidentes por virus provocaron pérdidas por 14.500 millones de euros en 2001.
  • El 70 por 100 de las empresas medianas, el 84 por 100 de las grandes y el 89 por 100 de las muy grandes, han tenido pérdidas significativas por incidentes de seguridad en el año 2002.
  • El gasto europeo en seguridad pasará de 2.000 millones de euros, en el año 2000, a alcanzar los 6.900 millones de euros, en 2005.
  • El 54 por 100 de las empresas han incrementado su presupuesto para seguridad con respecto al año 2001, con un crecimiento medio del 25 por 100.
  • Entre los años 2000 y 2001 la Agencia de Protección de Datos abrió expedientes sancionadores por 20 millones de euros.
  • En el año 2001 la Agencia de Protección de Datos realizó 400 inspecciones.
  • El 25 por 100 de las agencias del gobierno norteamericano son vulnerables a un ataque.
  • Un 70 por 100 de 250 grandes empresas europeas no sabe cuándo ni con qué frecuencia revisa su política de seguridad.
  • Más del 75 por 100 de las empresas españolas que basan su negocio en comercio electrónico a través de Internet vulneran en mayor o menor medida la LOPDCP.
  • El estudio, realizado sobre 3.000 empresas de ámbito mundial, señala que los fallos de seguridad cuestan a las compañías entre el 5,7 y el 7 por 100 de sus ingresos anuales. Este concepto supuso unas pérdidas de 4.300 millones de dólares en empresas europeas.
  • Habiéndose multiplicado el número de ataques en la red por 2.400 en los últimos seis años produciendo unas perdidas valoradas en unos 250.000 millones de dólares, no se entiende que el presupuesto típico que una empresa de Internet destina a la seguridad sea menos del 5 por 100.

El marco del estudio de ASIMELEC pretende crear en las empresas un clima que promueva una actitud responsable ante la seguridad, por lo que incidir en los problemas detectados se considera un incentivo para la adopción de medidas.

En el citado estudio se comprueba el tipo de medidas de seguridad que adoptan las empresas en el ámbito de las tecnologías de la información (ver Gráfico 2).

No causa sorpresa el hecho de que las tecnologías más implantadas sean los antivirus y los firewalls (sistemas de protección perimetral de las comunicaciones), por el conocimiento de los problemas que se pueden afrontar con dichas soluciones y la relativa accesibilidad económica de la tecnología asociada.

En general las empresas no disponen de un tratamiento sistematizado de los retos de seguridad. Al preguntarles sobre las barreras existentes para la adopción de un enfoque metodológico como el que permite la adopción de las normas ISO/UNE 17799 y UNE 71501 y el Reglamento de Medidas de Seguridad RD994/1999, las conclusiones no pueden ser más reveladoras (ver Gráfico 3):

  • El mayor obstáculo a la implantación de la seguridad es la cultura empresarial, por encima de los problemas que a priori podrían parecer más relevantes como presupuesto o tecnología.
  • Las organizaciones consideran que un porcentaje muy elevado de las recomendaciones de seguridad no les son aplicables. Únicamente entre un 5 por 100 y un 10 por 100 de las recomendaciones pueden no ser aplicables en función de la naturaleza de la organización, por lo que las respuestas de controles no aplicables realmente reflejan problemas de desconocimiento más que de no aplicabilidad.
  • El nivel de desconocimiento de los distintos aspectos que condicionan la seguridad es también más alto de lo que cabía esperar.

La «cultura de la seguridad» estudiada, pues, bajo los prismas del usuario y de las empresas, revela sobre todo un alto grado de desconocimiento.

Una de las formas de explicar el porqué de esta poca cultura de la seguridad en Internet podría ser el factor «histórico» del uso de Internet en la empresa. Si nos remontamos a hace siete u ocho años, el inicio de la popularización de Internet, es fácil recordar lo que ofrecían las empresas suministradoras de servicios Internet: conexión, correo electrónico y páginas web.

Si bien es cierto tanto lo primero como lo segundo, la evolución ha sido muy pequeña: los conceptos son los mismos, se ha mejorado en calidad, velocidad y precio, no ha ocurrido así con las páginas web.

En aquellos tiempos se ofrecía a la empresa la oportunidad de estar presente en Internet, se ofrecía el diseño de unas páginas y el hosting de éstas en los servidores. En el fondo se estaba ofreciendo la publicación de unos folletos de la empresa en un nuevo medio. Las reflexiones sobre la seguridad para las páginas web en aquellos tiempos eran inexistentes e innecesarias. ¿Qué nivel de seguridad tienen los folletos en papel? Ninguna. ¿Qué nivel de seguridad deberían tener los folletos digitales? Seguramente que algo más, pero realmente no era necesaria y los costes de ésta eran importantes.

Por lo tanto, se parte de un inicio donde la seguridad en la red, en el «comercio electrónico» no era un elemento importante.

A partir de esta primera fase, las empresas empezaron a sofisticar sus web, iniciaron el comercio electrónico más o menos interactivo. Se pasó de la simple publicación de folletos electrónicos a unos sistemas más sofisticados, donde el posible cliente podía ponerse en contacto con la empresa para hacer ciertos pedidos.

Éstos en muchos casos eran formularios o bien correos electrónicos. En aquellos momentos tampoco se dio mucha importancia a la seguridad por dos motivos: primero, el volumen de transacciones era bajo y, en segundo lugar, se asimilaba la forma de realizar estas transacciones a la compra por teléfono. Y para la compra por teléfono, ¿qué niveles de seguridad se pedían?, realmente pocos.

Durante la que podríamos llamar tercera fase, las empresas empezaron a automatizar los procesos de pedidos y de pagos. Aquí el tema de seguridad ya era importante por dos motivos: primero era necesario conectar las páginas web a los sistemas de gestión de las empresas, y por lo tanto era básico poder garantizar la confidencialidad de la información y poner barreras a los posibles intrusos. En segundo lugar era importante poder garantizar la identidad de quien compraba, puesto que el sistema de pago iba asociado a la transacción.

Pero ¿qué ocurría?, se partía ya de entornos desarrollados y en explotación. Se modificaban estos y se debía incorporar la seguridad a ellos. Esto hizo que en muchos casos, por cuestión de costes, no se implementaran todas las medidas de seguridad necesarias.

Y al final ¿qué tenemos?, pues un conjunto de comercios con unos niveles de seguridad no óptimos, y nos quejamos de la seguridad en la red. A nadie se le ocurriría abrir una tienda sin las mínimas medidas de seguridad, a nadie se le ocurriría crear una empresa sin alarmas, sin seguro, etcétera. Pero estas mismas personas y empresas, debido a las razones «históricas» antes mencionadas tienen empresas y tiendas sin el nivel de seguridad adecuado.

La tecnología existe, los costes de aplicar estos sistemas de seguridad son, en la mayoría de los casos, muy inferiores a los costes de implementar las mismas medidas en una tienda o empresa física.

No parece ser el caso español—un caso aislado en el marco europeo— aunque sí puede deducirse que en entornos tecnológicamente más avanzados o con grados de adopción de las tecnologías Internet más maduros, la resistencia de los compradores por la sensación de inseguridad disminuye.

Según un estudio elaborado por las cámaras de comercio [2] a partir de datos de la Comisión Europea, y analizando diversos sectores desde la perspectiva de ocho grandes líneas argumentales, se comprueba una cierta correlación en los resultados entre los aplicables a España y los aplicables al conjunto de Europa (ver Gráfico 4).

Para el conjunto de los sectores, de todos los obstáculos analizados, al que conceden mayor importancia los empresarios españoles es a la reticencia de los consumidores a realizar compras electrónicas, mientras que para los empresarios europeos la barrera más importante es que algunos bienes y servicios no se venden electrónicamente.

Tanto para los empresarios españoles como para los empresarios europeos, las trabas que dificultan menos las ventas electrónicas son los problemas que pueden generarse en los procesos de entrega y de pago electrónico.

Por todo lo dicho, puede concluirse que los usuarios españoles desconfían de las posibilidades transaccionales de Internet, y esta desconfianza es percibida también por los empresarios que se enfrentan a ésta como una más de las muchas dificultades que conlleva sacar adelante un negocio en el que la vertiente electrónica sea relevante.

Qué necesita una empresa para hacer comercio electrónico seguro en la red: garantizar la identidad, integridad, confidencialidad y no repudio de las transacciones

Internet, en tanto que red abierta, permite una comunicación interactiva entre los diferentes agentes que posiblemente no habían tenido ninguna relación anteriormente. Estas redes están siendo utilizadas por empresas que quieren sacar partido de la apertura de la red, disminución de los costes, los entornos de trabajo compartido, el acceso a nuevos mercados, etcétera. Pero para lograr con éxito todos estos propósitos el entorno Internet tiene que ser seguro.

Desde el inicio de los negocios, y más concretamente de las transacciones comerciales, ha existido la preocupación del conocimiento que uno de los agentes podía tener sobre el otro antes de realizar un negocio. Siempre han existido dudas sobre la identidad de la empresa, su solvencia, etcétera. Toda esta situación se ha ido solucionando mediante diferentes medios tales como los registros de las sociedades, los certificados de origen, los informes comerciales, etcétera.

Pero desde la introducción del comercio y de los negocios dentro del mundo de las telecomunicaciones, y especialmente dentro de Internet, ha vuelto a tomar protagonismo esta problemática, puesto que en el mundo virtual muchas de las soluciones planteadas en el mundo real no tienen sentido o bien hay que implementar nuevas funciones intrínsecas del mundo de las telecomunicaciones.

Autenticación del emisor

Es necesario autentificar que quien realmente está enviando un mensaje, una factura, una cuenta bancaria, etcétera, es realmente quien dice que es. Esto en el mundo real no es tan complicado ya que con la presentación de unos poderes, con la firma manuscrita, la presencia física, etcétera, se soluciona la cuestión.

Seguridad de que la información transmitida sólo pueda ser leída, escuchada, alterada, etcétera, por el receptor

Éste es el segundo problema que se encuentra en el mundo virtual. Aquí puede haber escuchas e interferencias en el envío de la información que pongan en duda el negocio realizado.

Autenticación del receptor

Al igual que con el emisor hay que autentificar que quien está recibiendo el mensaje es quien realmente ha de ser y no hay suplantación de identidad con objetivos tan diversos como la obtención de información confidencial, la realización de transferencias bancarias, etcétera.

Garantía de atribuibilidad  de las operaciones

Hay ciertas operaciones en las que es necesario que tanto el receptor como el emisor tengan constancia de que la operación se ha realizado, y que esta constancia tenga validez ante un tercero.

Un individuo, cuando entra en Internet, puede navegar por diferentes servicios puestos en la red por terceras organizaciones, sin que estos organismos sepan quien está accediendo a sus páginas. Desaparece su identidad física para pasar a ser un ente invisible que puede «fisgar» por todas partes sin ser visto.

En el supuesto de que una persona quiera comprar algunos productos en una denominada «tienda virtual», un lugar o web en Internet donde se ofrecen productos y se pueden comprar mediante solicitud por la misma red, el problema que se plantea es el siguiente: ¿quién es el que pide este producto y dice que paga con un número de tarjeta de crédito?, ¿es quien dice ser o se trata de una suplantación o falsificación de identidad? Se ha de tener en cuenta que un cargo en una tarjeta sin la firma del propietario crea una inseguridad en muchos casos insostenible para el vendedor, ya que el importe puede ser devuelto a requerimiento del titular hasta 6 meses después sin ningún tipo de impedimento.

Por otra parte está el tema de la transmisión de mensajes con seguridad, tanto de la identidad del emisor y del receptor, como del contenido del mensaje. Es relativamente fácil «pinchar» líneas de comunicación y «escuchar» los mensajes que se envían, alterar su contenido, o emular cuentas de correo electrónico de otras personas o entidades (enviar correo engañando al receptor sobre la identidad del emisor).

Y, por último, tenemos el problema del que vende el producto, ¿realmente es quien dice que es o es alguien que intenta conseguir números de visas para poderlos utilizar posteriormente como comprador en otras tiendas?

3. El certificado digital

Desde diferentes organismos internacionales se ha estado trabajando para solucionar estos problemas y se ha definido lo que debería ser la «identidad digital», que no es más que un sistema de seguridad por certificados algo así como un DNI digital, es decir un identificador único dentro de la red que permita a su poseedor ser identificado como tal dentro de la misma con el fin de realizar un conjunto de acciones determinadas (firmar un documento, entrar en lugares restringidos, identificarse ante una administración, etcétera).

Los certificados son una herramienta imprescindible para garantizar la autenticidad del emisor y del receptor así como la integridad de la información transmitida, por tanto, hay que certificar a las empresas y a los servido res de comercio electrónico. Esto implica tener directorios de claves públicas, listas de revocación, sellos de tiempo y reglas operativas. Esto significa que existe una complejidad técnica y unos requisitos de seguridad que cualquier servidor de certificados debería cumplir. En este sentido, la Comisión Europea ha emitido una normativa específica que regula las entidades emisoras de certificados, especialmente en todos aquellos aspectos relacionados con dar las garantías necesarias a los usuarios de estos certificados a la hora de utilizarlos: seguridad, fiabilidad, estandarización, etcétera.

Uno de los aspectos más importantes dentro de este tipo de identidad digital es la entidad que emite este certificado, es decir, una vez que una empresa se identifica dentro de la red con un certificado digital, las otras partes tienen la seguridad de que esta empresa es realmente quien dice ser pues hay una tercera parte de confianza (la entidad emisora del certificado) que es quien da fe (certifica) de que es realmente quien dice ser. Por lo tanto, aunque en Internet podemos encontrar documentos firmados con certificados digitales, la validez de esta firma dependerá de quien ha emitido realmente el certificado, o dicho de otro modo, ¿tiene nuestra confianza el emisor del certificado a fin de identificar a la segunda parte? Un ejemplo en el mundo real sería comparar un documento identificativo como podría ser un DNI emitido por el Ministerio del Interior con un carnet de socio de un determinado club. Evidentemente los dos documentos identifican a una persona, pero uno tendrá una validez diferente a la del otro y, sin duda, el primero tendrá un mayor reconocimiento ante un desconocido que el segundo, aunque solamente con el segundo se pueda acceder a las instalaciones del club.

Existen ya diversas entidades que han empezado a emitir algún tipo de certificado. Se basan en pedir un informe de la existencia de la entidad que solicita la identidad, y le dan su clave privada. La cuestión es la aceptación del sistema de manera global, ya que no existe un estándar consensuado entre las diversas empresas que realizan el servicio y algunas pueden tener problemas de credibilidad por los escasos requisitos que solicitan, por el poco prestigio que puedan tener fuera de su demarcación territorial, etcétera.

4. Hacia la confianza internacional

Las cámaras de comercio son sensibles a las barreras que tienen que gestionar las empresas y desde hace varios años desarrollan a nivel internacional diversas iniciativas que contribuyen a que disminuyan esas cargas.

En este sentido, dos iniciativas relevantes son ChamberTrust y ChamberSign.

ChamberTrust

El sello de confianza ChamberTrust (ver Figura 1) se otorga a las empresas a través de la Cámara de Comercio a la que pertenecen y permite su inclusión en un directorio mundial que incorpora ciertos datos de la empresa para promover la confianza en su relación con otras empresas a nivel internacional.

El sello Chambertrust está auspiciado por la Federación Mundial de Cámaras (WCF). La Federación Mundial de Cámaras (WCF) es la división especializada de la CCI (Cámara de Comercio Internacional) para sus cámaras de comercio miembros en todo el mundo. La WCF era anteriormente conocida como la Oficina Internacional de Cámaras de Comercio (IBCC).

A través de su red global de apoyo, la WCF permite a las Cámaras de todo el mundo intercambiar experiencias y mejorar su desempeño en áreas como finanzas, dirección y desarrollo y promoción de servicios.

La WCF trabaja estrechamente con organizaciones multilaterales de apoyo, como el Grupo del Banco Mundial y el Programa de las Naciones Unidas para el Desarrollo (PNUD), en proyectos de desarrollo de capacidad. Todas las Cámaras que son miembros de la CCI son automáticamente miembros de la WCF. En la actualidad, Cámaras de más de 140 países son miembros de la CCI.

La institución cameral, con más de 400 años promoviendo la confianza a nivel internacional, está especialmente cualificada para promover iniciativas como el sello ChamberTrust.

A modo de herramienta de marketing, el principal objetivo de ChamberTrust es ayudar a seleccionar socios, compradores y/o proveedores verificando para ello la existencia real de la compañía, sus actividades y sus productos, así como el propietario real del sitio web. Con un motor de búsqueda y un portal, ayuda a las empresas a atraer socios de negocios potenciales mediante bases de datos internacionales que incluyen la posibilidad de realizar búsquedas por actividad y por productos declarados por estas empresas.

Gracias a la imagen neutral e independiente de las cámaras de comercio, Industria y Navegación esta herramienta ofrece mayores y mejores oportunidades de contacto al incrementar el impacto y la visibilidad de las empresas en la red. De esta forma, ChamberTrust ayuda a las compañías a destacar entre la competencia y a ser seleccionadas por posibles socios de negocios.

ChamberSign

En 1999, Eurochambres y diez de sus organizaciones camerales de Alemania, Bélgica, Francia, España, Holanda, Italia, Luxemburgo, Reino Unido y Suecia establecieron la organización internacional ChamberSign (ver Figura 2), cuyo objetivo primordial consistía en proporcionar la interoperabilidad de las firmas electrónicas utilizadas por las empresas europeas (certificadas por las cámaras de comercio) para promover las relaciones empresariales transfronterizas que hicieran uso del comercio electrónico.

Las organizaciones camerales involucradas representan 579 cámaras de comercio próximas a las empresas, con una cobertura de más de 13 millones de tales empresas, muchas de las cuales son PYMES. El sistema pretende atraer otras organizaciones camerales de todo el mundo, de forma que se refuerce el concepto de red global cameral de firma electrónica.

Las cámaras de comercio han sido las primeras instituciones en adoptar e impulsar los estándares europeos que permiten, al amparo de la Directiva 1999/93/CE del Parlamento Europeo y el Consejo del 13 de diciembre por la que se establece un marco comunitario para la firma electrónica [3], expedir Certificados Reconocidos

(nombre de la versión española de la Directiva del término Qualified Certificates que hubiera sido mejor traducir por «Certificados Cualificados» ya que el término adoptado introduce confusión al haber sido utilizado también en las normas españolas, y sólo en ellas).

La gestión de este tipo de certificados por las Cámaras uniformiza a nivel europeo el esquema de presunciones por el que se establece la equivalencia funciona entre la firma electrónica y la firma manuscrita.

5. La confianza en España

En esta misma línea, y con el objetivo de hacer Internet y el Comercio Electrónico más seguro, las cámaras de comercio pusieron en marcha, en julio de 2000, una iniciativa para garantizar la identidad de las empresas españolas que realicen Comercio Electrónico. Dicha iniciativa se estructuró en forma de sociedad anónima: AC Camerfirma S.A. es la primera CA que establece su prioridad en la emisión de certificados personales que señalan la relación entre una persona y una empresa, bien como empleado, bien como apoderado. A lo largo de su actividad establece la red de entidades de inscripción (RA) más tupida de España al contar con 45 cámaras de comercio (de un total de 85) capaces de desempeñar los trabajos de verificación de identidad asociados a dicha función.

En junio de 2001 comienza sus actividades Firmaprofesional, participada por AC Camerfirma y los Colegios Oficiales de Médicos, Farmacéuticos y Arquitectos de Cataluña. Su vocación es la de desarrollar los servicios de certificación de todos los Colegios Profesionales, atendiendo a la potestad que sólo estos tienen de acreditar quién es colegiado, tras verificar que se cumplen los requisitos para ello. Es un modelo que busca optimizar el esquema de costes a base de replicar en diferentes colegios el exigente entorno técnico y operativo capaz de satisfacer todos los requisitos legales, y conociendo en profundidad sus necesidades.

6. Contexto legal de la certificación en España

El desarrollo de los mecanismos de confianza en torno a la certificación ha atravesado una etapa compleja y de escaso valor, que ha requerido de un gran esfuerzo por parte de las cámaras de comercio.

El Real Decreto-Ley 14/1999, de 17 de septiembre, por el cual se regula el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación, y la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, han sido instrumentos de escaso valor que ha sido preciso interpretar a la luz de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. Es decir, hasta la reciente publicación de la Ley 59/2003, de 19 de diciembre, de firma electrónica [5], ha tenido más valor para la actividad de los prestadores de servicios de certificación la Directiva, que la ley y el reglamento que la transponían.

Entre los motivos que condujeron a ello cabe citar las contradicciones respecto a la Directiva y la falta de desarrollo de los medios para poder cumplir los requisitos que se establecían, ya que no era posible inscribir al prestador de servicios de certificación en un registro que no se llegó a crear, ni evaluar a los prestadores de servicios de certificación, puesto que no existía ni la normativa de evaluación ni las entidades evaluadoras.

A partir de esta situación legal de partida tan dificultosa para la prestación de servicios de certificación digital en el ámbito privado, la Orden del Ministerio de Hacienda HAC/1181/2003, de 12 de mayo, y la reciente Ley 59/2003, de 19 de diciembre, de firma electrónica, han venido a impulsar el sector de la certificación.

Efectivamente, la nueva ley determina que será el Ministerio de Ciencia y Tecnología el que establecerá el reconocimiento de los prestadores de servicios de certificación y dará por finalizado un período en el que se ha producido una amplia normativa de menor rango con criterios muy diversos en lo que se refiere a dicho reconocimiento. La nueva situación legal dará las mismas oportunidades a los distintos proveedores de certificación digital, y permitirá el desarrollo de otros prestadores alternativos.

7. Usos de los certificados para firma electrónica

La seguridad de las transacciones se consigue a través de mecanismos que favorecen la confidencialidad de las comunicaciones o la autenticación de los intervinientes.

Para ello, los extremos de la comunicación tienen que estar dotados de los mecanismos técnicos que posibiliten el uso de la criptografía y de los certificados.

La panoplia de servicios posibles es extensa, éstos son algunos de los usos:

Cifrado

Los sistemas de clave pública permiten el cifrado de los datos utilizando la clave pública del destinario. De esta forma, únicamente el destinatario—poseedor de la clave privada— podrá acceder a la información.

Firma en algunas aplicaciones de amplio uso

El impulso de la firma electrónica en los últimos años ha motivado que las principales empresas de desarrollo de software hayan adaptado sus aplicaciones a las tecnologías de PKI. Entre estas aplicaciones debemos destacar la posibilidad de firmar disponibles en las aplicaciones que integran el Office XP y la solución de Adobe para la firma de PDF con el Acrobat.

Factura telemática

El impulso definitivo de la facturación telemática viene de la mano de la Orden HAC/3134/2002 y en especial de la reciente Resolución 2/2003, de 14 de febrero, del Director General de la Agencia Estatal de Administración Tributaria.

Relaciones con la Agencia Tributaria

Es sin duda en el ámbito Tributario donde se han conseguido los mayores avances en la denominada Administración on-line, e-Administración o e-Goverment, pudiendo realizarse en la actualidad un gran número de actos con la AEAT, entre los que destacan especialmente los relativos a la presentación de declaraciones de carácter tributario y, entre ellos los referentes a los tributos del IRPF, IVA, Sociedades, Patrimonio, Aduanas e Impuestos Especiales.

Partes de accidentes de trabajo

El proyecto Delt@ es una iniciativa del Ministerio de Trabajo para facilitar la presentación de los partes de baja laboral por medios telemáticos.

Toma de decisiones en juntas universales

La reciente Ley 26/2003, de 17 julio, por la que se modifican la Ley 24/1988, de 28 de julio de 1988, del Mercado de Valores, y el texto refundido de la Ley de Sociedades Anónimas, aprobado por el Real Decreto Legislativo 1564/1989, de 22 de diciembre de 1989, con el fin de reforzar la transparencia de las sociedades anónimas cotizadas define y promueve la posibilidad de que los accionistas puedan votar de forma electrónica en las Juntas. Ésta es sólo una de las posibilidades de votación, que pueden extenderse a todo tipo de procesos electorales o referéndums que podrán ser realizados de manera rápida y segura y de forma on line mediante la utilización de certificados digitales.

Contratación telemática

La aún reciente Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, regula en el título IV la contratación por vía electrónica. La aportación de una prueba cualificada de la celebración de los contratos electrónicos se configura como un elemento fundamental en este tipo de relaciones, por lo que la utilización de la firma electrónica en general y de los certificados Camerfirma en especial, se perfila como un elemento prácticamente indispensable a la hora de contratar por estos medios.
Servicios que requieren control de identidad en el e-Commerce

Todos los servicios ofrecidos de forma on line y que requieran una correcta identificación del usuario podrán beneficiarse de la firma electrónica y de los certificados digitales. Mediante la utilización de certificados digitales, cuando un usuario accede por ejemplo a un Market Place, el sistema podrá controlar y limitar su forma de acceso en función de la persona que se lo presente, pudiendo además firmar los pedidos que realice a modo de prueba de compra y contratación electrónica.

Además de los usos anteriormente citados, se pueden señalar también los siguientes: firma de escritorio, seguridad del correo electrónico, SSL, control de acceso en las web e intranet, cumplimiento de niveles altos LOPD con SSL, e-Commerce financiero,
etcétera.

8. Conclusiones

Las estadísticas muestran como común denominador el desconocimiento de los usuarios cuando desconfían de Internet como plataforma de realización de transacciones y el de las empresas cuando no son conscientes de las ventajas que tiene la adopción de medidas de seguridad o lo catastrófico que puede ser no contar con ellas.

Las cámaras de comercio, teniendo en cuenta las tecnologías existentes, promueven soluciones técnicas para reforzar la seguridad de las transacciones y desarrollan un gran esfuerzo de difusión y formación entre las empresas.

Todo ello orientado hacia un objetivo de competitividad de las empresas y ciudadanos españoles en un complejo mundo virtual en el que no es asumible ningún retraso en relación con los países de nuestro entorno.

Referencias bibliográficas

[1] ASIMELEC (2003): Estudio sobre el estado actual de la seguridad de los sistemas de la información en las empresas entrevistadas, de acuerdo con la Norma ISO/IEC17799:2000.
[2] CÁMARAS DE COMERCIO (2003): Estudio sobre las Barreras Sectoriales para la Venta Electrónica.
[3] DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica, Diario Oficial de las Comunidades Europeas, 19-1-2000.
[4] ESTUDIO COMERCIO ELECTRÓNICO B2C EN ESPAÑA, VENTAS AL CONSUMIDOR-B2C, AECE-fecemd 2003.
[5] LEY 59/2003, de 19 de diciembre, de firma electrónica, BOE de 20 de diciembre de 2003.

Proyecto Binum. Firma electrónica combinada RSA y curvas elípticas

2 respuestas

En Albalia hemos creado un laboratorio de productos y servicios relacionado con la Sociedad de las Información que desarrolla mecanismos probatorios en torno a los documentos electrónicos, sistemas de notificación y publicación fehaciente y otras iniciativas avanzadas.

Cuando identificamos ciertos riesgos en el uso de algoritmos concretos de hash y de criptografía asimétrica nos planteamos la conveniencia de utilizar sistemas duales que garantizaran que si se producen colisiones respecto de un algoritmo se mantenga otro en el que la colisión respecto al mismo documento sea virtualmente imposible.

Uno de los resultados de esta iniciativa es el Proyecto Binum.

Binum es un proyecto de I+D+i realizado en cooperación por Idoneum Electronic Identity y Albalia Interactiva y con la colaboración de la Universitat de les Illes Balears que tiene por objeto la creación de un criptosistema PKI de firma electrónica que combina los algoritmos criptográficos RSA y de curvas elípticas.

Las tareas realizadas en el año 2008 para este proyecto han sido cofinanciadas por el Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011 (con referencia TSI-020100-2008-681).

El objeto del proyecto Binum es crear la tecnología suficiente para poder realizar implementaciones de sistemas PKI lo más seguras posibles llevando el estado del arte un poco más allá mediante al uso combinado de los algoritmos RSA y de curvas elípticas.

Para ello son necesarios principalmente los elementos que se detallan a continuación:

  • Estudio y propuesta de modificación de especificaciones, estándares y protocolos para la inclusión de esta novedad, que permita una evolución de los sistemas usados en la actualidad a esta nueva tecnología.
  • Realización de una aplicación que demuestre dichos conceptos.
  • El desarrollo de un dispositivo seguro de creación de firma, compatible con la definición que de éste hace la ley 59/2003, de 19 de diciembre, de firma electrónica, y el desarrollo técnico de estas características en la especificación CEN CWA 14169.
  • El desarrollo del middleware necesario para poder interactuar con el dispositivo seguro de creación de firma desde aplicaciones ejecutadas en ordenadores personales y demás sistemas.

Servicios DSS en EADTrust

8 respuestas

EADTrustEADTrust es la denominación del conjunto de servicios on-line que impulsa Albalia, relacionados con la firma electrónica, la factura electrónica y la administración electrónica. Entre los servicios disponibles están los relacionados con el sellado de tiempo (timestamping) tan necesarios en los servicios de autenticidad de la sociedad de la información.

Desde hace unos dias hemos liberado la funcionalidad DSS (Digital Signature Service) que permite firmar electrónicamente y verificar firmas electrónicas de forma remota. Esta funcionalidad va a quedar a disposición de los integradores que van a poder desarrollar servicios cliente DSS sin coste alguno.

El entorno que ahora se publica cuenta con algunas restricciones que no se aplicarán a los servicios comerciales: solo gestionará firmas XAdES X-L , no se permitirán frecuencias de consulta o peticiones de servicio superiores a 10 por minuto, la TSA utilizada es la propia de EADTrust, los servicios de validación no son configurables.

La especificación DSS (Digital Signature Services) alcanzó el nivel de Standard de OASIS en junio de 2007, en su versión 1.0. Esta especificación simplifica la gestión de las firmas electrónicas en las organizaciones, permitiendo la definición de modelos de gestión centrados en servidores que se alinean con las arquitecturas de sistemas más avanzadas. Las claves privadas se pueden gestionar de forma segura en entornos centralizados y puede evitarse la dispersión de material criptográfico en los ordenadores individuales de los usuarios, robusteciendo la política de seguridad mientras se saca partido a las múltiples funcionalidades de la firma electrónica.

DSS describe dos protocolos de tipo petición/respuesta basados en XML, uno para generar firmas electrónicas  y otro para verificarlas. Al usar estos protocolos, un cliente puede enviar documentos al servidor y obtener el documento firmado electrónicamente, o enviar un documento firmado al servidor y obtener los datos de la comprobación de la firma electrónica.

DSS da cobertura a diferentes tipos de firmas electrónicas, como las basadas en XML and CMS. Se desarrolla sobre un núcleo de elementos y procedimientos que pueden perfilarse para proporcionar determinadas funciones como time-stamping (incluyendo los basados en XML), validaciones de vigencia de certificados de múltiples prestadores de servicios de certificación, sellos corporativos, sellos de sede electrónica, marcas de notificación o publicación fehaciente, o firma de código ejecutable.

El estándar DSS de OASIS se desarrolló gracias al esfuerzo de reprerentantes de la American Bar Association, Cancillería Federal de Austria, BEA Systems, CATCert-Agencia Catalana de Certificacio, IBM, Nokia, Universal Postal Union, y otros.

Estos servicios representan la posibilidad de que el sector privado pueda disfrutar de servicios equivalentes a los que proporciona la herramienta @firma del MAP y de la Junta de Andalucía, o PSIS (Plataforma de Servicios de Identificación y firma) de CatCert en el sector público, pero actualizados a las versiones más recientes de los estándares técnicos. También en muchos organismos del ámbito público pueden preferir el uso de EADTrust al de @firma, dependiendo de cuales sean sus necesidades en relación con la firma electrónica.

Algo muy necesario en el marco de las obligaciones marcadas por la Ley 11/2007 y la Ley 30/2007 para el sector público y la Let 22/2007 y la Ley 56/2007.

Delegación en Grecia

1 respuesta

Acabamos de llegar de Grecia en donde estamos desarrollando una delegación de Albalia Interactiva.

La hospitalidad griega es digna de mención y el avance que está logrando en el ámbito de la certificación es notable. De momento existen los siguientes prestadores de servicios de certificación:

En breve comunicaremos la dirección y el teléfono de nuestra delegación

Efgaristó poli

EDICOM, el PSC con «mejores prácticas»

Deja un comentario

EDICOM, empresa especializada en el desarrollo, implantación de soluciones y prestación de servicios XML/EDI, obtuvo el reconocimiento por parte del Ministerio de Industria, Turismo y Comercio para operar como PSC el pasado día 13 de Octubre, el mismo día que obtenía la Certificación de ASIMELEC, convirtiéndose en el primer PSC en disponer de esta acreditación.

El Esquema de Calidad de PSC de ASIMELEC permite identificar a los Prestadores de Servicios de Certificación que adoptan las mejores prácticas, por lo que la Autoridad de Certificación de EDICOM ha quedado identificada como la de más valor de entre las que operan en España, y, posiblemente en Europa. El sello de ASIMELEC supera los requisitos de otros esquemas como Webtrust for Certification Authorities, y tiene en cuenta la normativa europea de firma electrónica.

Operar en calidad de Autoridad de Certificación permite proveer a los clientes de EDICOM de los elementos de identificación específicos a la actividad concreta a realizar, evitando certificados generalistas y garantizando el cumplimiento de la legalidad en su interpretación más estricta, como en el caso de los dispositivos seguros, que gozan de la certificación CWA 14169.

EDICOM añade de esta forma a su amplio portafolio de soluciones para el transporte de información (mensajes de datos), el valor de actuar en Calidad de Autoridad de Certificación, lo que le permite prestar servicios como:

  • Emisión de certificados
  • Generación de Sellos de Tiempo
  • Almacenamiento certificado de información
  • Firma electrónica Remota

EDICOM expide certificados que se ajustan a lo establecido en la Directiva 1999/93/CE de 13 de diciembre de 1999 y a la Ley 59/2003 de 19 de diciembre, de firma electrónica, por lo que goza de amplio reconocimiento para operar en todos los países de la Unión Europea.

La certificación de ASIMELEC se ha obtenido en base a la auditoría de cumplimiento de la norma ETSI TS 101 456 y ha sido realizada por la consultora S21sec.

Edicom es una compañía dedicada al desarrollo e implantación de sistemas transaccionales de alto rendimiento empresa a empresa (B2B). Especialista en consultoría y desarrollo de software EDI e integración de datos (XML, EDIFACT, X12, VDA, …), aplicaciones y procesos, dispone de su propia Red de Valor Añadido (SEDEB2B) para el transporte seguro de la información, así como de soluciones en el campo del Reaprovisionamiento Continuo (CRP) y Trazabilidad. La empresa con sede en Valencia, posee delegaciones en México, Francia, Italia y Argentina, cuenta en la actualidad con un equipo humano de 128 personas especializadas en el campo de las comunicaciones electrónicas que atienden a las más de 4.800 empresas que conforman su cartera de clientes y su plataforma de intercambio mueve más de 80 millones de transacciones anuales.

Interlocución telemática

3 respuestas

El 29 de diciembre de 2007 se publicó en el BOE la LMISI, Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Una de las características de esta norma es que impone a las empresas privadas ciertas obligaciones coherentes con el derecho de los ciudadanos a usar la vía telemática que se consagra en la  LAECSP, Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos .

En el artículo 2 de la LMISI se establece la obligación de ciertas empresa de disponer de un medio de interlocución telemática para la prestación de servicios al público de especial trascendencia económica. Y en la disposición final cuarta se indica que esta obligación entrará en vigor a los doce meses de la publicación de la Ley en el Boletín Oficial del Estado.

Todo el artículo tiene su interés, pero conviene destacar que sin perjuicio de la utilización de otros medios de comunicación a distancia con los clientes, las empresas que presten servicios al público en general de especial trascendencia económica deberán facilitar a sus usuarios un medio de interlocución telemática que, mediante el uso de certificados reconocidos de firma electrónica, les permita la realización de ciertos trámites como la contratación electrónica, modificación de condiciones contractuales, altas, bajas, quejas, histórico de facturación, sustitución de informaciones y datos en general, así como el ejercicio de los derechos de acceso, rectificación, oposición y cancelación en materia de protección de datos

Las empresas obligadas por esta normativa son aquellas con más de 100 empleados o un volumen de operaciones superior a los 6 millones de euros que presten servicios al público considerados como de especial trascendencia económica, como banca, electricidad, agua y gas, y telecomunicaciones, entre otros.

Para facilitar a todo tipo de empresas el cumplimiento de esta norma, Albalia Interactiva ha desarrollado en el marco de su gama de servicios EADTrust la funcionalidad de Interlocución Telemática que se integra con facilidad en el entorno web  de la empresa. De esta manera, en un tiempo record, es posible contar con este tipo de servicios y cumplir los plazos marcados por la ley. Los formularios firmados electrónicamente se guardan en formato XAdES-X-L (según se define por la norma TS 101 903) por lo que incluyen todas las evidencias electrónicas que afectan a la validez del certificado en el momento de la firma.

El sistema es personalizable con la imagen del web de la entidad y permite definir todo tipo de trámites y formularios. Además, es posible diseñar entornos mixtos en los que el formulario se completa y se prevalida en la entidad y se firma electrónicamente en la plataforma EADTrust.

Trámites que debe permitir la interlocución telemática

Mediante el uso de certificados reconocidos de firma electrónica, la interlocución telemática debe permitir a los clientes y usuarios la realización de, al menos, los siguientes trámites:

  • Contratación electrónica de servicios, suministros de bienes, la modificación y finalización o rescisión de los contratos, así como cualquier acto o negocio jurídico entre las partes.
  • Consulta de los datos de cliente, que incluirán información sobre su historial de facturación de, al menos, los tres últimos años y el contrato suscrito.
  • Presentación de quejas, incidencias, sugerencias y reclamaciones, garantizando la constancia de su presentación para el consumidor y asegurando una atención personal directa.
  • Ejercicio de los derechos de acceso, rectificación, cancelación y oposición en los términos previstos en la normativa reguladora de protección de datos de carácter personal.

Empresas afectadas por la normativa

Las empresas obligadas por esta normativa son aquellas que agrupen a más de cien trabajadores o cuenten con un volumen anual de operaciones superior a los 6.010.121 euros y que, en ambos casos, operen en los siguientes sectores:

  • Servicios de comunicaciones electrónicas a consumidores.
  • Servicios financieros destinados a consumidores, que incluyen los servicios bancarios, de crédito o de pago, los servicios de inversión, las operaciones de seguros privados, los planes de pensiones y la actividad de intermediación de seguros.
  • Servicios de suministro de agua a consumidores.
  • Servicios de suministro de gas al por menor.
  • Servicios de suministro eléctrico a consumidores finales.
  • Servicios de agencia de viajes.
  • Servicios de transporte de viajeros por carretera, ferrocarril, vía marítima o aérea.
  • Actividades de comercio al por menor.

Además, el Gobierno y las Comunidades Autónomas, podrán ampliar el ámbito de aplicación de esta obligación a otras empresas distintas de las previstas en la Ley, en aquellos casos en los que se considere que en el desarrollo de su actividad normal deban tener una interlocución telemática con sus clientes o usuarios.

Seguridad Jurídica en Medios de Pago

Deja un comentario

Mañana y pasado (7 y 8 de octubre de 2008) participaré en el evento Seguridad Jurídica en Medios de Pago organizado por el IIR.

Mis módulos (3 y 4) los impartiré la tarde de mañana y seguiré la mañana del miércoles.

MODULO 3
Gestión del fraude y evidencias electrónicas. Métodos especiales de autenticación

MODULO 4
Implicaciones jurídicas de la contratación electrónica mediante DNIe y otros certificados

En unos dias, el 15 y 16 de Octubre de 2008 tambien participaré en el Seminario Especificaciones Técnicas de la nueva normativa de Facturación Electrónica (facturae) organizado por IIR España, Institute for International Research y que lo desarrollamos completamente personas de Albalia Interactiva

Posteriormente,  el 28 y 29 de Octubre de 2008 tambien participaré en el Seminario PCI DSS organizado por IIR España, Institute for International Research, junto con Lara Fiorani (PCI DSS Technical Manager de Visa Europa) y Pedro Sánchez (Director de Seguridad de ATCA).

Hito en EADTrust. Ceremonia de generación de claves root

Deja un comentario

Ayer tuvo lugar un hecho histórico en el desarrollo de EADTrust, Prestador de servicios de confianza digital, lo que supone un motivo de orgullo para todos los integrantes del equipo.

Llevamos a cabo la ceremonia de generación de claves de la autoridad de certificación root de la PKI en sede notarial. En la foto adjunta estamos los presentes en el acto.

De izquierda a derecha, yo mismo, Julián Inza, y seguidamente Fernando Pino, Maria Luisa Blasco, Luis Osses y Santi Casas.

Julian Inza - Fernando Pino - Maria Luisa Blasco - Luis Osses - Santi Casas

Julian Inza – Fernando Pino – Maria Luisa Blasco – Luis Osses – Santi Casas

No está en la foto, pero tuvo una contribución esencial, Mar de las Heras que ha aportado buena parte de los documentos legales del evento.

La fecha del 24 de septiembre de 2008, dia de la Virgen de la Merced, adquiere un nuevo significado para nosotros.

Documento electrónico

1 respuesta

Mañana impartimos en Valencia el seminario «Gestión de Documentos Electrónicos en las Administraciones Públicas y Grandes Organizaciones» para Global Estrategias. Este seminario se repite en Barcelona el 12 de junio de 2008.

Estos son los principales aspectos que se tratarán:

1. Introducción a la firma electrónica.

  • Características de la firma manuscrita y paralelismo con la electrónica.
  • Fundamentos de criptografía de clave pública. Firma electrónica en base a la criptografía. Propiedades de la firma electrónica. Cifrado.
  • Autoridades de certificación y certificados. Jerarquías de certificación. SSL.
  • Tipos de firma electrónica.

2. Ejemplos de Firma electrónica paso a paso.

  • Obtención del software de firma. Obtención de un certificado.
  • Realización de una firma. Verificación de una firma. Firma en PKCS#7, Firma en PDF.

3. La Ley de Firma Electrónica y el DNI electrónico.

  • Desarrollos normativos en torno a la Firma Electrónica.
  • Ley 59/2003 de 19 de diciembre de Firma Electrónica. Certificados de personas jurídicas. Prestadores de servicios de certificación en España. Tipos de certificados.
  • DNI electrónico: Real Decreto 1553/2005.

4. Normativa relativa a los documentos electrónicos en la Administración y en el sector privado.

  • Normativa de Factura electrónica y Digitalización Certificada.
  • Los documentos electrónicos en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
  • Compulsa electrónica. Novación electrónica.
  • Normativa de Comercio Electrónico. Normativa de Contratación Electrónica.
  • Ley de Medidas de Impulso de la Sociedad de la Información

5. Propiedades de los documentos en papel y su traslado el mundo electrónico.

  • Características de los documentos en papel.
  • Elementos esenciales que afectan a la autenticidad de los documentos electrónicos.
  • Transición del documento en papel a electrónico. Transición del documento en formato electrónico a papel. Validez de la transcripción a papel de los documentos electrónicos y de la digitalización electrónica del documento papel.
  • Modelo de Gestión de documentos electrónicos y digitalizados. Versiones en papel de documentos electrónicos.
  • Presentación de documentos electrónicos no firmados en las administraciones públicas.

6. Consideraciones técnicas sobre documentos electrónicos.

  • Organismos de estandarización.
  • Formatos de facturas: facturae y UBL.
  • Formatos de firma ES-T, ES-C, ES-X-L.
  • Uso de dispositivos seguros de creación de Firma. El HSM (Hardware Security Module).
  • Sistemas de Sello de Tiempo y de Validación de Certificados.
  • Generación y validación de firmas en PDF y XAdES.
  • Herramientas de desarrollo existentes.

7. Requisitos de Homologación del Software de Digitalización Certificada.

  • Artículo 7 de la Orden EHA/962/2007 de 10 de abril de 2007.
  • Resolución de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.

facturae y XAdES-XL (TS 101 903 ES-X-L)

2 respuestas

Ya está disponible la nueva versión 2.0 de Faccil.

Un esfuerzo de programación que combina técnicas de Ruby on Rails y Java y que supone la primera implementación conjunta de los estándares facturae y XAdES-XL .

De momento nos encontramos con que ninguna otra aplicación es capaz de entender la firma XAdES-XL basada en el estándar TS 101 903 (es nuestra ventaja, pero no deja de ser un problema). Habrá que esperar a que CENATIC en colaboración con el Ministerio de Industria Turismo y Comercio promueva vesiones «Open Software» de un visor de factura electrónica generalizado. Quizá lo veamos como «plug-in» de Mozilla para Firefox.

Esta herramienta, Faccil,  es gratuita para los participantes en el proyecto ePYMES de Albalia Interactiva (aun quedan plazas libres). Además el proyecto se complementa con formación on-line sobre Firma electrónica y Factura electrónica, y sobre negocios electrónicos, y con el uso de la herramienta CatSEO que comentaré los próximos dias. Se identifica con el código PAV-080200-2007-24.

Aunque ya tenemos pensadas algunas ampliaciones para Faccil (especialmente para facilitar la facturación hacia el sector público, que empieza a ser obligatoria a partir de marzo de 2008, y para dar la opción de darse de alta y autenticarse con el DNI electrónico) estamos abiertos a sugerencias y próximamente abriremos un foro para ello.

Por cierto, estamos pensando en algunas futuras características de la plataforma que confiamos en que contribuyan a reducir la morosidad, y a faciltar el acceso a los servicios de factoring de varias instituciones financieras, con las que ya estamos hablando.