Archivo de la categoría: Prestadores de Servicios de Certificación

Características de zBackTrust

6 respuestas

La firma electrónica es parte de los requisitos que tienen que cumplir entidades financieras y aseguradoras (junto con otras entidades «de especial relevancia económica») para implementar su sistema de interlocución telemática según se dicta en el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. También forma parte de la Sede Electrónica, el Registro Telemático y los sistemas de publicación y notificación fehaciente que todos los organismo de la administración pública deben implementar como consecuencia de la aplicación de las Leyes  30/2007, de 30 de octubre, de Contratos del Sector Público y 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

En las instituciones que cuentan con equipos System z, la solución de firma electrónica de elección es zBackTrust, conjunto de módulos de firma electrónica diseñado por Albalia Interactiva para los equipos de IBM y comercializado conjuntamente con INSA.

El módulo principal es un servicio Web basado en el estándar OASIS DSS (Digital Signature Service) que se instala de forma centralizada y que ofrece funcionalidades de Firma Electrónica Remota, Verificación y Ampliación de Firmas XAdES-XL a toda la organización. Dispone de funcionalidades de firma electrónica de PDFs y está disponible también en forma de API.

Estas son algunas de las características de zBackTrust:

  • Celeridad en los procesos de generación y comprobación de Firmas electrónicas a través de API y DSS (Digital Signature Service).
  • Generación de firmas completas XAdES – XL
  • Validación de certificados y firmas electrónicas (permite comprobar los certificados de cualquier prestador de servicios de certificación)
  • Generación de evidencias electrónicas para la custodia digital de documentos electrónicos firmados
  • Compatible con el procesador criptográfico (HSM) IBM 4764
  • Compatible con diferentes Middleware: WebSphere, Weblogic y Tomcat.
  • Entornos z/OS y z/Linux
  • Cumplimiento de estándares de ETSI y OASIS.

Ventajas de la Solución

  • Indenpendiza los servicios de seguridad y confianza de los procesos de negocio, al disponer de una infraestructura común de firma electrónica para todas las aplicaciones en las que se requiere integrar dichas funcionalidades.
  • Garantiza el crecimiento del sistema con nuevas funcionalidades, sin que afecte al desarrollo del resto de aplicaciones.
  • Minimiza los costes de desarrollo y mantenimiento, evitando la programación de código común en múltiples aplicaciones y plataformas.
  • Garantiza la capacidad de aceptar certificados de cualquier prestador de servicios de certificación europeo.
  • Permite cumplir con la normativa reciente:
    • Factura electrónica (Orden PRE/2971/2007)
    • Contratación Pública (Ley 30/2007)
    • Administración Electrónica (Ley 11/2007)
    • Interlocución Telemática (Ley 56/2007)
    • Directiva 1999/93/CE

Otros artículos relacionados:

zBackTrust, firma electrónica para System Z

10 respuestas

Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

Referencias:

Interoperabilidad de los Prestadores de Servicios de Certificación

8 respuestas

En pasados artículos he hecho referencia a que un cumplimiento diligente de la Directiva 199/93/CE de firma electrónica implicaba la aceptación de los certificados reconocidos (o cualificados) de todos los prestadores de servicios de certificación europeos.

Este punto de vista ha quedado recogido, por ejemplo en la Orden EHA/962/2007, pero hay quien piensa que la Ley 11/2007 y el Esquema Nacional de Interoperabilidad dejan margen para que un organismo concreto pueda establecer criterios propios de aceptación.

Debe aclararse que «los criterios propios» de aceptación solo son de aplicación a las firmas avanzadas, y que el criterio general es que las firmas avanzadas basadas en un certificado reconocido (es decir, cualificado), o en un certificado en cuya política se han utilizado mecanismos de verificación de identidad del firmante presenciales o equivalentes a presenciales, tienen un nivel de aceptación próximo al de las firmas reconocidas o cualificadas.

Sin embargo para facilitar la interoperabilidad de las firmas electrónicas en el marco europeo, hay algunos detalles que conviene tener en cuenta:

  1. Las URL de la CRL y del OCSP del prestador deben estar correctamente codificados en todos sus certificados (extensión AIA).
  2. El servicio OCSP, o, al menos el de CRL, de los prestadores válidos (los que figuran en la TSL) han de estar accesibles sin coste
  3. La información de URL de la Root, de la CPS, de los servicios OCSP y CRL de cada prestador de servicios de certificación deben estar codificados en las TSL de cada estado (que en España corresponde al MITyC, no al MAP) y en la TSL armonizada.
  4. Siempre que el destinatario de una firma sea una entidad privada, la firma electrónica debería construirse con arreglo a las especificaciones XAdES-XL o CAdES-XL (respectivamente descritas en las normas TS 101 903 y TS 101 733). En general, este tipo de firma debería ser de elección en todos los casos. Las administraciones públicas que generen firmas siempre deberían hacerlo con estos formatos (ya que eliminan la carga de la verificación de validez del certificado al receptor)

Es necesario contar con una lista actualizada de prestadores europeos, que debería ser posible obtener a partir del sistema de notificación del artículo 11 de la directiva 1999/93/CE. La información de cada prestador debería contener, además de la URL de la home page, su dirección, email y teléfono (lo que más o menos ya se recoge hoy en día) junto con las URL de la Root, de la CPS, de los servicios OCSP y de la CRL de sus CAs (lo que es esencial para la interoperabilidad, pero resulta difícil de encontrar en la página web del prestador en el sistema actual) .

Es necesario que los sistemas nacionales de supervisión que notifican el estado de gestión de los sistemas de certificación de su pais a la Comisión Europea recojan los datos mencionados en sus repositorios. En España, esta responsabilidad corresponde al MITyC, según se establece en la Ley 59/2003.

Conviene poner en valor los Sistemas Voluntarios de Acreditación, como el de ASIMELEC.

Y es conveniente ir eliminando mecanismos alternativos de verificación de validez de certificados como los definidos en la orden EHA/1181/2003 que tuvieron su razón de ser antes de la publicación de la Ley 59/2003, pero no tienen sentido en el actual marco legislativo. El repositorio de la AEAT ya solo tendría sentido en el marco de la normativa de factura electrónica. En su momento supuso un gran empuje a los prestadores de servicios de certificación españoles, pero en la actualidad supone  un ejemplo mal copiado por muchos organismos públicos que crean sus propias listas de prestadores de servicios de certificación sin ser conscientes con que basta con remitirse a la lista del MITyC.

El problema de censar a los prestadores de servicios de certificación, que NUNCA debería ser un problema del tercero que confía, se está convirtiendo en uno de los frenos al desarrollo de la firma electrónica. Y hubiera sido algo muy sencillo de desarrollar si se hubiera aplicado correctamente el artículo 11 de la directiva 1999/93/CE. Es decir, si los datos antes indicados (URL de la Root, de la CPS, de los servicios OCSP y de la CRL de las CAs de cada pais) se hubieran recogido correctamente desde el principio, y el comité del artículo 9 hubiera sido más proactivo.

Por esta ineficiencia de la Comisión ha sido necesario gastar cientos de miles de euros en proyectos de interoperabilidad cuyos resultados están por ver, y se han creado malas costumbres que se tardará años en erradicar.

Otros artículos relacionados:

FESTE, Fundación para el Estudio de la Seguridad de las telecomunicaciones

Deja un comentario

Fui Director Gerente de la Fundación FESTE hasta 1999, fecha en la que me llamaron, de nuevo, a Banesto. Fue la tercera autoridad de certificación de España, tras ACE y la FNMT y estaba respaldada por los representantes de la fe pública extrajudicial, en aquel momento el Consejo General del Notariado y el de Corredores de Comercio, lo que suponía un plus, en mi opinión a los certificados de identidad y de representación de sociedades.

Conservo buenos recuerdos de mi paso por Barcelona, sede de la Fundación (en la emblemática calle Tuset, entre la Diagonal y Travessera de Gracia).

Con 10 años de perspectiva, es interesante que siga siendo posible encontrar con Google noticias de FESTE:

Seminario eAdministración en Sevilla

1 respuesta

El próximo 20 de octubre de 2009 tendrá lugar en Sevilla el Seminario «eAdministración –
Adaptación a la Ley 11/2007 y a la Ley 30/2007» que impartiremos, mano a mano, Bartolomé Borrego, Vocal Responsable de la División de Nuevas Tecnologías en la Delegación Especial de la AEAT en Andalucía y yo.

Lo organiza Atenea Interactiva y cuesta 300 euros + IVA.

Creo que puede ser de interés para organismos públicos o de participación pública que se enfrentan al reto de aplicar la Ley 11/2007 y a la Ley 30/2007, en lo relativo a la Administración Electrónica y a la Contratación Pública Electrónica.

Incluyo a continuación el programa previsto.

9:00-9:30    Recepción de los asistentes y entrega de la documentación

9:30-10:15 Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y  contratación pública.

D. Julián Inza

10:15 -10:45 Identidad Digital y DNIe.

  • La identidad digital en Internet.
  • Los sistemas de federación de identidades
  • Los sistemas “fuertes” de autenticación
  • Los certificados digitales y el DNIe
  • La gestión de las capacidades y la representación.
  • Aceptación de Certificados de otros países.

D. Julián Inza

10:45-11:15 Coffee-Break

11:15-11:45 Firma Electrónica

  • Certificados Reconocidos
  • Dispositivos seguros de creación de firma. 
  • La firma electrónica reconocida
  • Servicios de validación de certificados.
  • La certificación de tiempo. El TimeStamping
  • La firma electrónica de larga duración (CAdES/XAdES)
  • Los servicios de firma electrónica (OASIS DSS)

D. Julián Inza

11:45-12:15 Implementación del Perfil del Contratante

  • Requisitos a cumplir. Artículo 42 de la Ley de 30/2007.
  • La Plataforma de Contratación del Estado
  • La prueba del momento: Time Stamping. 
  • El testigo electrónico.

D. Julián Inza

12:15-13:15 Facturación electrónica en el sector público

  • Formatos y Firmas. 
  • Plataformas.
  • Gestión integrada de recepción de facturas (papel y electrónicas)

D. Julián Inza

13:15-13:45 Claves de la reforma de la Ley 11/2007 de acceso de los ciudadanos a los servicios electrónicos

  • Ámbito.
  • Principios.
  • Derechos de los ciudadanos.

D. Bartolomé Borrego Zabala

13:45-14:15  Registros Electrónicos o telemáticos

  • Antecedentes. Requisitos.
  • Justificaciones de presentaciones telemáticas.
  • Regulación de los plazos

D. Bartolomé Borrego Zabala

14:15-15:30  Comida: Cocktail Buffet

15:30-16:15 Notificaciones fehacientes por medios electrónicos

  • Notificaciones telemáticas seguras.
  • Consulta de notificaciones.
  • Notificación por comparecencia.
  • Publicación electrónica del tablón de anuncios o edictos.
  • SMS y Correo electrónico certificados.

D. Bartolomé Borrego Zabala

16:15-16:45  Uso de la firma electrónica en la Administración Pública

  • Sistemas de firma electrónica para la actuación administrativa automatizada.
  • Firma electrónica del personal al servicio de las Administraciones Públicas.
  • Identificación y autenticación de los ciudadanos por funcionarios públicos.

D. Bartolomé Borrego Zabala

16:45-17:15  Plataformas de Pagos

  • Justificante electrónico del pago. Medios de pago.
  • Pasarela de pago de la AEAT. Otras pasarelas de pago.
  • Centralización de servicios de pagos electrónicos.
  • Plataforma de Servicio de Pago Telemático (Red.es)

D. Bartolomé Borrego Zabala

17:15-17:45  Copias electrónicas, Compulsa electrónica y Digitalización Certificada.

  • Documento electrónico
  • La compulsa electrónica por las Administraciones Públicas.
  • Copia de documentos electrónicos. Digitalización Certificada.

D. Bartolomé Borrego Zabala

17:45-18:30  Representación en los procedimientos electrónicos.

  • La representación y la Colaboración Social.
  • Apoderamiento para la realización de trámites electrónicos

D. Bartolomé Borrego Zabala
 
18:30-19:00  Coloquio y conclusiones

Proyecto FactOffice Add-in en Codeplex

12 respuestas

efactura_logoDesde hoy está disponible en Codeplex la información del proyecto FactOffice que hemos desarrollado con Microsoft y que está publicada como software abierto, bajo licencia MS-PL

Se trata de un componente (Add-in), que instalado sobre MS Office 2007 (MS Word), le habilita para la generación, recepción e intercambio de facturas electrónicas en el formato XML “facturae”. La aplicación, utilizando unas plantillas predefinidas y configurables, es capaz de generar la factura, firmarla electrónicamente (con el formato XAdES EPES o XAdES XL) con cualquiera de los certificados de los prestadores de servicios de certificación existentes,  validar su conformidad de esquema Facturae, de Firma electrónica, y de cuadre contable, así como mantener una pequeña gestión histórica del estado de cada factura .

FactOffice Add-in para Word 2007La disponibilidad del código fuente, habilita a los desarrolladores que quieran participar en el proyecto, a ampliar, modificar o personalizar sus características, así como a adaptar dicha solución a sus propias plataformas de factura electrónica (conexión a servicio WEB etc ..).

Uno de los aspectos de innovación aplicados es la configuración del formato OOXML como contenedor del formato facturae, de forma que manteniendo una completa compatibilidad con el formato facturae, hemos podido añadir elementos de aspecto, como el «layout» de la factura o la posición del logo que son completamente configurables.

Hemos probado la aplicación en diferentes configuraciones de Word 2007, basadas en Windows XP, Windows Vista y Windows 7 (las versiones de evaluación disponibles) y va como la seda.

Y además nos hemos currado el tema de idiomas, que ya incluye el español, el inglés y el catalán, con un sistema que nos permitirá añadir idiomas con facilidad.

En fin, tenemos un «roadmap» en mente con un montón de posibilidades: conexión por webservices con plataformas existentes, ampliación de funciones, extensiones para mejoras de aspecto, soporte a diferentes formatos,…

Los asistentes al IV Congreso de Factura Electrónica y Digitalización Certificada que se celebra mañana lo recibirán en el USB que entrega la Organización (ASIMELEC).

Microsoft va a difundir una Nota de Prensa con los detalles principales:NP-Microsoft-Albalia-FactOffice

Oesía adquiere el 51% de Retemsa a través de Tecnobit.

1 respuesta

TecnobitLa empresa española Oesía, antigua IT Deusto, ha tomado a través de su filial de ingeniería, defensa y seguridad, Tecnobit, una participación del 51 % en Retemsa (Redes de Telefonía Móvil S.A.). Esta adquisición permite a ampliar su oferta de productos y sistemas en el campo de las comunicaciones, en el que ya estaba presente a través de sus procesadores de comunicaciones tácticas y sus sistemas de cifrado. También reforzará la posición de Retemsa en el acceso al mercado de seguridad y defensa en el que Tecnobit se encuentra sólidamente implantado desde hace más de 30 años.

RetemsaRetemsa, compañía con más de 10 años en el mercado, posee en su cartera de productos una amplia gama de repetidores de telefonía móvil 2G, GPRS, 3G y UMTS, así como diversos modelos de inhibidores de radiofrecuencia, destinados a usos civiles y militares.

Además Retemsa es uno de los pocos fabricantes españoles de dispositivos HSM (Hardware Security Module), un tipo de equipo de cifrado que se utiliza en Prestadores de Servicios de Certificación, Banca y Defensa.

Tecnobit refuerza así su posición dedicada al diseño, desarrollo, fabricación y mantenimiento de equipos y sistemas de electrónica profesional. Su principal línea de actuación es la ingeniería de hardware y software, así como la integración y pruebas de equipos y sistemas de alta tecnología. Su dilatada experiencia en el sector de defensa y seguridad le ha permitido tomar parte en importantes proyectos, tanto nacionales como internacionales.

Las áreas de negocio más relevantes de la filial de Oesía son Aviónica, Optrónica, Mando y Control, Simulación y Sistemas de Información.

OesiaOesía cuenta ya con más de 3.500 profesionales altamente cualificados y desarrolla su actividad en sectores como defensa, telecomunicaciones, energía, banca y seguros, sanidad o Administración Pública. Su accionariado está integrado mayoritariamente por importantes cajas de ahorro (Cajasol, Cajagranada, Caja Castilla La Mancha, Caja Inmaculada, Caja Burgos y  Caja Navarra). Opera en España y en países como EEUU, Portugal, Colombia, Brasil, México, Argentina o Emiratos Árabes Unidos.

Exito en el evento de eAdministración de Atenea Interactiva

1 respuesta

Escribo este post desde el Instituto de Postgrado de la UAX (Universidad Alfonso X El Sabio), en cuya sede se celebra el evento eAdministración (eGovernment) organizado por Atenea Interactiva, del que ya informé.

La verdad es que con algo más de 80 asistentes, la asistencia se acerca el límite de capacidad de la sala, por lo que Atenea ha tenido que cerrar la inscripción.

Asistencia al evento de eGovernment organizado por Atenea Interactiva

Para los que no han podido acudir a esta sesión, Atenea ya ha abierto una nueva convocatoria que tendrá lugar el 12 de marzo de 2009.

Os recuerdo los titulares del contenido de la Jornada:

  • Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y  contratación pública.
  • Identidad Digital y DNIe.
  • Firma Electrónica
  • Implementación del Perfil del Contratante
  • Facturación electrónica en el sector público
  • Claves para transformar procesos administrativos e implementar procesos telemáticos
  • Notificaciones fehacientes por vía telemática
  • La Compulsa electrónica y la Digitalización Certificada.
  • Archivo de Constancias Electrónicas y Carpeta Ciudadana
  • Registro Telemático
  • Coloquio y conclusiones

La seguridad en las transacciones electrónicas

Deja un comentario

En febrero de 2004 se publicó en una de las revistas ICE (Información Comercial Española) editado por la Secretaría de Estado de Comercio Exterior un artículo que preparé para Fernando Gómez Avilés-Casco. Era en la época en que yo era el Director General de Camerfirma, y él el Presidente.

Con frecuencia se menciona la percepción de falta de seguridad de las transacciones electrónicas por parte de los usuarios como una de las principales barreras para el desarrollo del comercio electrónico. En rigor, al identificar la falta de confianza en el comercio electrónico como concepto más amplio que engloba a la presunción de falta de seguridad, es posible diseñar un conjunto de acciones que contribuyan en varios frentes a crear las condiciones de su desarrollo. Las cámaras de comercio, a nivel internacional y específicamente en España, están contribuyendo con varias iniciativas a suavizar los reparos que hacen dudar a los usuarios. La propia capilaridad de la red cameral permite contribuir en los aspectos formativos al despliegue del conocimiento y de la formación que faciliten las transacciones seguras, especialmente en el ámbito empresarial.

1. Situación actual

Frecuentemente, los estudios que analizan el comportamiento de los particulares acerca del uso de Internet destacan el incremento interanual de internautas (personas que acceden a Internet desde hace algún tiempo) y estudian el comportamiento de los internautas en relación al conjunto de la población. Dentro de los internautas estudian el caso especial de los que compran por Internet, así como las causas de que no lo haga el resto. Uno de estos estudios es el denominado Estudio comercio electrónico B2C en España centrado en las ventas al consumidor – B2C y elaborado por AECE-fecemd en mayo de 2003 [4].

Los datos que arroja el estudio son muy interesantes: sólo el 37,8 por 100 de los entrevistados declara utilizar Internet, por lo que éstos serán posteriormente la base sobre la que se elaboren otras conclusiones. Así y todo el incremento es notable puesto que el año anterior este porcentaje se reducía al 23,1 por 100.

Al preguntarles si compran por Internet, los internautas han respondido que sí en un 19,4 por 100 y que no en un 80,3 por 100. Por ello la representatividad y fiabilidad de los resultados de la encuesta es mayor para el caso de los que no han comprado respecto a los que sí han comprado. Entre las razones para comprar destacan la comodidad, el precio y, por lo general, la experiencia de los usuarios ha sido satisfactoria pues el 97,9 por 100 de los usuarios que han hecho compras por Internet ha declarado que dicha compra ha cubierto sus expectativas «siempre» o «casi siempre».

Sin embargo, al preguntar a quienes no han comprado por Internet las razones para no hacerlo, encontramos destacadamente varias razones relacionadas con la confianza (ver Gráfico 1): «Miedo a dar los datos personales», «desconfianza en el sistema de pago», «inseguridad/desconfianza», «desconfianza en la presentación del producto», «falta de información», «desconfianza en las tiendas existentes».

Aunque muchas veces este tipo de respuestas no son reflexivas y vienen inducidas por la tipificación de respuestas disponibles en la encuesta y por el estado de opinión al que contribuyen los medios de comunicación, no cabe duda que para muchas personas la presunción de que las condiciones asociadas a las compras por Internet no merecen confianza se ha instalado en su acervo cultural, de forma que difícilmente se replantearán si sus presunciones están justificadas.

2. ¿Es seguro el comercio electrónico?

Ésta es una de las preguntas de más actualidad para los empresarios y los consumidores. La respuesta nunca puede ser tajante en ningún sentido, pero en especial en su afirmación. Es un hecho que la seguridad total tiene un coste infinito y, por lo tanto, no es ni será nunca completamente seguro el comercio electrónico, de la misma forma que no lo es ningún tipo de comercio.

De todas formas sería bueno hacer un conjunto de reflexiones: ¿Es seguro volar?, la respuesta varía según a quién se le pregunte y, al final, se acaba respondiendo con expresiones o cifras comparativas: es la forma más segura de viajar, es la que tiene menor porcentaje de siniestralidad, etcétera, en el fondo se acaba recurriendo a la comparación.

Con el comercio electrónico ocurre lo mismo, y al final la pregunta debería ser: ¿es más inseguro el comercio electrónico que el comercio tradicional?

La repuesta tampoco es simple puesto que se compara un comercio con experiencia de siglos con uno de muy reciente creación pero, aún así, me gustaría hacer algunas preguntas que puedan generar reflexión:

«Cuando una empresa pone una tienda ¿pone puertas para limitar su acceso?, ¿pone alarmas para evitar robos?, ¿tienen seguros para casos de siniestralidad?, etcétera», sin duda alguna las respuestas son en su mayoría afirmativas. ¿Se hace lo mismo cuando se pone una tienda o un negocio en la red?, la respuesta a dicha pregunta presenta sin duda muchos más interrogantes que en las anteriores.

Hoy en día se puede afirmar que existen los mecanismos y las herramientas para garantizar un alto nivel de seguridad en la red, mayor incluso que para el negocio tradicional. Existen aseguradoras que ofrecen seguros de responsabilidad civil, de robos, etcétera, existen los firewalls —equivalentes a los guardas de seguridad en la red los cuales permiten el acceso a ciertos usuarios y lo deniegan a otros— existen los certificados digitales —autenticas llaves de seguridad de las puertas virtuales de la tienda electrónica que a la vez permiten garantizar la atribuibilidad de las transacciones— existen los antivirus, un sistema antivandalismo, etcétera.

En definitiva, el uso del comercio electrónico puede ser tan seguro como se desee, se planifique o se invierta en dicha seguridad de la misma forma que se haría en un negocio tradicional.

Pero, ¿cuál es la situación real o cómo se comportan las personas ante esta realidad? En este sentido, es llamativo que cuando las personas tienen que decidir sobre la adopción de medidas de seguridad en las empresas (y contribuir así a un clima más positivo en la percepción de los usuarios) aparentemente no son tan sensibles a las «malas noticias».

El estudio publicado por ASIMELEC en colaboración con el Ministerio de Ciencia y Tecnología en el marco del proyecto «Seguridad de la Información XXI» en el año 2003 [1] menciona un conjunto de estadísticas que deberían inquietar a las empresas:

  • Los incidentes de seguridad se duplican cada año con respecto al anterior.
  • Diariamente se descubren entre2y5 nuevas vulnerabilidades.
  • Los incidentes por virus provocaron pérdidas por 14.500 millones de euros en 2001.
  • El 70 por 100 de las empresas medianas, el 84 por 100 de las grandes y el 89 por 100 de las muy grandes, han tenido pérdidas significativas por incidentes de seguridad en el año 2002.
  • El gasto europeo en seguridad pasará de 2.000 millones de euros, en el año 2000, a alcanzar los 6.900 millones de euros, en 2005.
  • El 54 por 100 de las empresas han incrementado su presupuesto para seguridad con respecto al año 2001, con un crecimiento medio del 25 por 100.
  • Entre los años 2000 y 2001 la Agencia de Protección de Datos abrió expedientes sancionadores por 20 millones de euros.
  • En el año 2001 la Agencia de Protección de Datos realizó 400 inspecciones.
  • El 25 por 100 de las agencias del gobierno norteamericano son vulnerables a un ataque.
  • Un 70 por 100 de 250 grandes empresas europeas no sabe cuándo ni con qué frecuencia revisa su política de seguridad.
  • Más del 75 por 100 de las empresas españolas que basan su negocio en comercio electrónico a través de Internet vulneran en mayor o menor medida la LOPDCP.
  • El estudio, realizado sobre 3.000 empresas de ámbito mundial, señala que los fallos de seguridad cuestan a las compañías entre el 5,7 y el 7 por 100 de sus ingresos anuales. Este concepto supuso unas pérdidas de 4.300 millones de dólares en empresas europeas.
  • Habiéndose multiplicado el número de ataques en la red por 2.400 en los últimos seis años produciendo unas perdidas valoradas en unos 250.000 millones de dólares, no se entiende que el presupuesto típico que una empresa de Internet destina a la seguridad sea menos del 5 por 100.

El marco del estudio de ASIMELEC pretende crear en las empresas un clima que promueva una actitud responsable ante la seguridad, por lo que incidir en los problemas detectados se considera un incentivo para la adopción de medidas.

En el citado estudio se comprueba el tipo de medidas de seguridad que adoptan las empresas en el ámbito de las tecnologías de la información (ver Gráfico 2).

No causa sorpresa el hecho de que las tecnologías más implantadas sean los antivirus y los firewalls (sistemas de protección perimetral de las comunicaciones), por el conocimiento de los problemas que se pueden afrontar con dichas soluciones y la relativa accesibilidad económica de la tecnología asociada.

En general las empresas no disponen de un tratamiento sistematizado de los retos de seguridad. Al preguntarles sobre las barreras existentes para la adopción de un enfoque metodológico como el que permite la adopción de las normas ISO/UNE 17799 y UNE 71501 y el Reglamento de Medidas de Seguridad RD994/1999, las conclusiones no pueden ser más reveladoras (ver Gráfico 3):

  • El mayor obstáculo a la implantación de la seguridad es la cultura empresarial, por encima de los problemas que a priori podrían parecer más relevantes como presupuesto o tecnología.
  • Las organizaciones consideran que un porcentaje muy elevado de las recomendaciones de seguridad no les son aplicables. Únicamente entre un 5 por 100 y un 10 por 100 de las recomendaciones pueden no ser aplicables en función de la naturaleza de la organización, por lo que las respuestas de controles no aplicables realmente reflejan problemas de desconocimiento más que de no aplicabilidad.
  • El nivel de desconocimiento de los distintos aspectos que condicionan la seguridad es también más alto de lo que cabía esperar.

La «cultura de la seguridad» estudiada, pues, bajo los prismas del usuario y de las empresas, revela sobre todo un alto grado de desconocimiento.

Una de las formas de explicar el porqué de esta poca cultura de la seguridad en Internet podría ser el factor «histórico» del uso de Internet en la empresa. Si nos remontamos a hace siete u ocho años, el inicio de la popularización de Internet, es fácil recordar lo que ofrecían las empresas suministradoras de servicios Internet: conexión, correo electrónico y páginas web.

Si bien es cierto tanto lo primero como lo segundo, la evolución ha sido muy pequeña: los conceptos son los mismos, se ha mejorado en calidad, velocidad y precio, no ha ocurrido así con las páginas web.

En aquellos tiempos se ofrecía a la empresa la oportunidad de estar presente en Internet, se ofrecía el diseño de unas páginas y el hosting de éstas en los servidores. En el fondo se estaba ofreciendo la publicación de unos folletos de la empresa en un nuevo medio. Las reflexiones sobre la seguridad para las páginas web en aquellos tiempos eran inexistentes e innecesarias. ¿Qué nivel de seguridad tienen los folletos en papel? Ninguna. ¿Qué nivel de seguridad deberían tener los folletos digitales? Seguramente que algo más, pero realmente no era necesaria y los costes de ésta eran importantes.

Por lo tanto, se parte de un inicio donde la seguridad en la red, en el «comercio electrónico» no era un elemento importante.

A partir de esta primera fase, las empresas empezaron a sofisticar sus web, iniciaron el comercio electrónico más o menos interactivo. Se pasó de la simple publicación de folletos electrónicos a unos sistemas más sofisticados, donde el posible cliente podía ponerse en contacto con la empresa para hacer ciertos pedidos.

Éstos en muchos casos eran formularios o bien correos electrónicos. En aquellos momentos tampoco se dio mucha importancia a la seguridad por dos motivos: primero, el volumen de transacciones era bajo y, en segundo lugar, se asimilaba la forma de realizar estas transacciones a la compra por teléfono. Y para la compra por teléfono, ¿qué niveles de seguridad se pedían?, realmente pocos.

Durante la que podríamos llamar tercera fase, las empresas empezaron a automatizar los procesos de pedidos y de pagos. Aquí el tema de seguridad ya era importante por dos motivos: primero era necesario conectar las páginas web a los sistemas de gestión de las empresas, y por lo tanto era básico poder garantizar la confidencialidad de la información y poner barreras a los posibles intrusos. En segundo lugar era importante poder garantizar la identidad de quien compraba, puesto que el sistema de pago iba asociado a la transacción.

Pero ¿qué ocurría?, se partía ya de entornos desarrollados y en explotación. Se modificaban estos y se debía incorporar la seguridad a ellos. Esto hizo que en muchos casos, por cuestión de costes, no se implementaran todas las medidas de seguridad necesarias.

Y al final ¿qué tenemos?, pues un conjunto de comercios con unos niveles de seguridad no óptimos, y nos quejamos de la seguridad en la red. A nadie se le ocurriría abrir una tienda sin las mínimas medidas de seguridad, a nadie se le ocurriría crear una empresa sin alarmas, sin seguro, etcétera. Pero estas mismas personas y empresas, debido a las razones «históricas» antes mencionadas tienen empresas y tiendas sin el nivel de seguridad adecuado.

La tecnología existe, los costes de aplicar estos sistemas de seguridad son, en la mayoría de los casos, muy inferiores a los costes de implementar las mismas medidas en una tienda o empresa física.

No parece ser el caso español—un caso aislado en el marco europeo— aunque sí puede deducirse que en entornos tecnológicamente más avanzados o con grados de adopción de las tecnologías Internet más maduros, la resistencia de los compradores por la sensación de inseguridad disminuye.

Según un estudio elaborado por las cámaras de comercio [2] a partir de datos de la Comisión Europea, y analizando diversos sectores desde la perspectiva de ocho grandes líneas argumentales, se comprueba una cierta correlación en los resultados entre los aplicables a España y los aplicables al conjunto de Europa (ver Gráfico 4).

Para el conjunto de los sectores, de todos los obstáculos analizados, al que conceden mayor importancia los empresarios españoles es a la reticencia de los consumidores a realizar compras electrónicas, mientras que para los empresarios europeos la barrera más importante es que algunos bienes y servicios no se venden electrónicamente.

Tanto para los empresarios españoles como para los empresarios europeos, las trabas que dificultan menos las ventas electrónicas son los problemas que pueden generarse en los procesos de entrega y de pago electrónico.

Por todo lo dicho, puede concluirse que los usuarios españoles desconfían de las posibilidades transaccionales de Internet, y esta desconfianza es percibida también por los empresarios que se enfrentan a ésta como una más de las muchas dificultades que conlleva sacar adelante un negocio en el que la vertiente electrónica sea relevante.

Qué necesita una empresa para hacer comercio electrónico seguro en la red: garantizar la identidad, integridad, confidencialidad y no repudio de las transacciones

Internet, en tanto que red abierta, permite una comunicación interactiva entre los diferentes agentes que posiblemente no habían tenido ninguna relación anteriormente. Estas redes están siendo utilizadas por empresas que quieren sacar partido de la apertura de la red, disminución de los costes, los entornos de trabajo compartido, el acceso a nuevos mercados, etcétera. Pero para lograr con éxito todos estos propósitos el entorno Internet tiene que ser seguro.

Desde el inicio de los negocios, y más concretamente de las transacciones comerciales, ha existido la preocupación del conocimiento que uno de los agentes podía tener sobre el otro antes de realizar un negocio. Siempre han existido dudas sobre la identidad de la empresa, su solvencia, etcétera. Toda esta situación se ha ido solucionando mediante diferentes medios tales como los registros de las sociedades, los certificados de origen, los informes comerciales, etcétera.

Pero desde la introducción del comercio y de los negocios dentro del mundo de las telecomunicaciones, y especialmente dentro de Internet, ha vuelto a tomar protagonismo esta problemática, puesto que en el mundo virtual muchas de las soluciones planteadas en el mundo real no tienen sentido o bien hay que implementar nuevas funciones intrínsecas del mundo de las telecomunicaciones.

Autenticación del emisor

Es necesario autentificar que quien realmente está enviando un mensaje, una factura, una cuenta bancaria, etcétera, es realmente quien dice que es. Esto en el mundo real no es tan complicado ya que con la presentación de unos poderes, con la firma manuscrita, la presencia física, etcétera, se soluciona la cuestión.

Seguridad de que la información transmitida sólo pueda ser leída, escuchada, alterada, etcétera, por el receptor

Éste es el segundo problema que se encuentra en el mundo virtual. Aquí puede haber escuchas e interferencias en el envío de la información que pongan en duda el negocio realizado.

Autenticación del receptor

Al igual que con el emisor hay que autentificar que quien está recibiendo el mensaje es quien realmente ha de ser y no hay suplantación de identidad con objetivos tan diversos como la obtención de información confidencial, la realización de transferencias bancarias, etcétera.

Garantía de atribuibilidad  de las operaciones

Hay ciertas operaciones en las que es necesario que tanto el receptor como el emisor tengan constancia de que la operación se ha realizado, y que esta constancia tenga validez ante un tercero.

Un individuo, cuando entra en Internet, puede navegar por diferentes servicios puestos en la red por terceras organizaciones, sin que estos organismos sepan quien está accediendo a sus páginas. Desaparece su identidad física para pasar a ser un ente invisible que puede «fisgar» por todas partes sin ser visto.

En el supuesto de que una persona quiera comprar algunos productos en una denominada «tienda virtual», un lugar o web en Internet donde se ofrecen productos y se pueden comprar mediante solicitud por la misma red, el problema que se plantea es el siguiente: ¿quién es el que pide este producto y dice que paga con un número de tarjeta de crédito?, ¿es quien dice ser o se trata de una suplantación o falsificación de identidad? Se ha de tener en cuenta que un cargo en una tarjeta sin la firma del propietario crea una inseguridad en muchos casos insostenible para el vendedor, ya que el importe puede ser devuelto a requerimiento del titular hasta 6 meses después sin ningún tipo de impedimento.

Por otra parte está el tema de la transmisión de mensajes con seguridad, tanto de la identidad del emisor y del receptor, como del contenido del mensaje. Es relativamente fácil «pinchar» líneas de comunicación y «escuchar» los mensajes que se envían, alterar su contenido, o emular cuentas de correo electrónico de otras personas o entidades (enviar correo engañando al receptor sobre la identidad del emisor).

Y, por último, tenemos el problema del que vende el producto, ¿realmente es quien dice que es o es alguien que intenta conseguir números de visas para poderlos utilizar posteriormente como comprador en otras tiendas?

3. El certificado digital

Desde diferentes organismos internacionales se ha estado trabajando para solucionar estos problemas y se ha definido lo que debería ser la «identidad digital», que no es más que un sistema de seguridad por certificados algo así como un DNI digital, es decir un identificador único dentro de la red que permita a su poseedor ser identificado como tal dentro de la misma con el fin de realizar un conjunto de acciones determinadas (firmar un documento, entrar en lugares restringidos, identificarse ante una administración, etcétera).

Los certificados son una herramienta imprescindible para garantizar la autenticidad del emisor y del receptor así como la integridad de la información transmitida, por tanto, hay que certificar a las empresas y a los servido res de comercio electrónico. Esto implica tener directorios de claves públicas, listas de revocación, sellos de tiempo y reglas operativas. Esto significa que existe una complejidad técnica y unos requisitos de seguridad que cualquier servidor de certificados debería cumplir. En este sentido, la Comisión Europea ha emitido una normativa específica que regula las entidades emisoras de certificados, especialmente en todos aquellos aspectos relacionados con dar las garantías necesarias a los usuarios de estos certificados a la hora de utilizarlos: seguridad, fiabilidad, estandarización, etcétera.

Uno de los aspectos más importantes dentro de este tipo de identidad digital es la entidad que emite este certificado, es decir, una vez que una empresa se identifica dentro de la red con un certificado digital, las otras partes tienen la seguridad de que esta empresa es realmente quien dice ser pues hay una tercera parte de confianza (la entidad emisora del certificado) que es quien da fe (certifica) de que es realmente quien dice ser. Por lo tanto, aunque en Internet podemos encontrar documentos firmados con certificados digitales, la validez de esta firma dependerá de quien ha emitido realmente el certificado, o dicho de otro modo, ¿tiene nuestra confianza el emisor del certificado a fin de identificar a la segunda parte? Un ejemplo en el mundo real sería comparar un documento identificativo como podría ser un DNI emitido por el Ministerio del Interior con un carnet de socio de un determinado club. Evidentemente los dos documentos identifican a una persona, pero uno tendrá una validez diferente a la del otro y, sin duda, el primero tendrá un mayor reconocimiento ante un desconocido que el segundo, aunque solamente con el segundo se pueda acceder a las instalaciones del club.

Existen ya diversas entidades que han empezado a emitir algún tipo de certificado. Se basan en pedir un informe de la existencia de la entidad que solicita la identidad, y le dan su clave privada. La cuestión es la aceptación del sistema de manera global, ya que no existe un estándar consensuado entre las diversas empresas que realizan el servicio y algunas pueden tener problemas de credibilidad por los escasos requisitos que solicitan, por el poco prestigio que puedan tener fuera de su demarcación territorial, etcétera.

4. Hacia la confianza internacional

Las cámaras de comercio son sensibles a las barreras que tienen que gestionar las empresas y desde hace varios años desarrollan a nivel internacional diversas iniciativas que contribuyen a que disminuyan esas cargas.

En este sentido, dos iniciativas relevantes son ChamberTrust y ChamberSign.

ChamberTrust

El sello de confianza ChamberTrust (ver Figura 1) se otorga a las empresas a través de la Cámara de Comercio a la que pertenecen y permite su inclusión en un directorio mundial que incorpora ciertos datos de la empresa para promover la confianza en su relación con otras empresas a nivel internacional.

El sello Chambertrust está auspiciado por la Federación Mundial de Cámaras (WCF). La Federación Mundial de Cámaras (WCF) es la división especializada de la CCI (Cámara de Comercio Internacional) para sus cámaras de comercio miembros en todo el mundo. La WCF era anteriormente conocida como la Oficina Internacional de Cámaras de Comercio (IBCC).

A través de su red global de apoyo, la WCF permite a las Cámaras de todo el mundo intercambiar experiencias y mejorar su desempeño en áreas como finanzas, dirección y desarrollo y promoción de servicios.

La WCF trabaja estrechamente con organizaciones multilaterales de apoyo, como el Grupo del Banco Mundial y el Programa de las Naciones Unidas para el Desarrollo (PNUD), en proyectos de desarrollo de capacidad. Todas las Cámaras que son miembros de la CCI son automáticamente miembros de la WCF. En la actualidad, Cámaras de más de 140 países son miembros de la CCI.

La institución cameral, con más de 400 años promoviendo la confianza a nivel internacional, está especialmente cualificada para promover iniciativas como el sello ChamberTrust.

A modo de herramienta de marketing, el principal objetivo de ChamberTrust es ayudar a seleccionar socios, compradores y/o proveedores verificando para ello la existencia real de la compañía, sus actividades y sus productos, así como el propietario real del sitio web. Con un motor de búsqueda y un portal, ayuda a las empresas a atraer socios de negocios potenciales mediante bases de datos internacionales que incluyen la posibilidad de realizar búsquedas por actividad y por productos declarados por estas empresas.

Gracias a la imagen neutral e independiente de las cámaras de comercio, Industria y Navegación esta herramienta ofrece mayores y mejores oportunidades de contacto al incrementar el impacto y la visibilidad de las empresas en la red. De esta forma, ChamberTrust ayuda a las compañías a destacar entre la competencia y a ser seleccionadas por posibles socios de negocios.

ChamberSign

En 1999, Eurochambres y diez de sus organizaciones camerales de Alemania, Bélgica, Francia, España, Holanda, Italia, Luxemburgo, Reino Unido y Suecia establecieron la organización internacional ChamberSign (ver Figura 2), cuyo objetivo primordial consistía en proporcionar la interoperabilidad de las firmas electrónicas utilizadas por las empresas europeas (certificadas por las cámaras de comercio) para promover las relaciones empresariales transfronterizas que hicieran uso del comercio electrónico.

Las organizaciones camerales involucradas representan 579 cámaras de comercio próximas a las empresas, con una cobertura de más de 13 millones de tales empresas, muchas de las cuales son PYMES. El sistema pretende atraer otras organizaciones camerales de todo el mundo, de forma que se refuerce el concepto de red global cameral de firma electrónica.

Las cámaras de comercio han sido las primeras instituciones en adoptar e impulsar los estándares europeos que permiten, al amparo de la Directiva 1999/93/CE del Parlamento Europeo y el Consejo del 13 de diciembre por la que se establece un marco comunitario para la firma electrónica [3], expedir Certificados Reconocidos

(nombre de la versión española de la Directiva del término Qualified Certificates que hubiera sido mejor traducir por «Certificados Cualificados» ya que el término adoptado introduce confusión al haber sido utilizado también en las normas españolas, y sólo en ellas).

La gestión de este tipo de certificados por las Cámaras uniformiza a nivel europeo el esquema de presunciones por el que se establece la equivalencia funciona entre la firma electrónica y la firma manuscrita.

5. La confianza en España

En esta misma línea, y con el objetivo de hacer Internet y el Comercio Electrónico más seguro, las cámaras de comercio pusieron en marcha, en julio de 2000, una iniciativa para garantizar la identidad de las empresas españolas que realicen Comercio Electrónico. Dicha iniciativa se estructuró en forma de sociedad anónima: AC Camerfirma S.A. es la primera CA que establece su prioridad en la emisión de certificados personales que señalan la relación entre una persona y una empresa, bien como empleado, bien como apoderado. A lo largo de su actividad establece la red de entidades de inscripción (RA) más tupida de España al contar con 45 cámaras de comercio (de un total de 85) capaces de desempeñar los trabajos de verificación de identidad asociados a dicha función.

En junio de 2001 comienza sus actividades Firmaprofesional, participada por AC Camerfirma y los Colegios Oficiales de Médicos, Farmacéuticos y Arquitectos de Cataluña. Su vocación es la de desarrollar los servicios de certificación de todos los Colegios Profesionales, atendiendo a la potestad que sólo estos tienen de acreditar quién es colegiado, tras verificar que se cumplen los requisitos para ello. Es un modelo que busca optimizar el esquema de costes a base de replicar en diferentes colegios el exigente entorno técnico y operativo capaz de satisfacer todos los requisitos legales, y conociendo en profundidad sus necesidades.

6. Contexto legal de la certificación en España

El desarrollo de los mecanismos de confianza en torno a la certificación ha atravesado una etapa compleja y de escaso valor, que ha requerido de un gran esfuerzo por parte de las cámaras de comercio.

El Real Decreto-Ley 14/1999, de 17 de septiembre, por el cual se regula el uso de la firma electrónica, el reconocimiento de su eficacia jurídica y la prestación al público de servicios de certificación, y la Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica, han sido instrumentos de escaso valor que ha sido preciso interpretar a la luz de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. Es decir, hasta la reciente publicación de la Ley 59/2003, de 19 de diciembre, de firma electrónica [5], ha tenido más valor para la actividad de los prestadores de servicios de certificación la Directiva, que la ley y el reglamento que la transponían.

Entre los motivos que condujeron a ello cabe citar las contradicciones respecto a la Directiva y la falta de desarrollo de los medios para poder cumplir los requisitos que se establecían, ya que no era posible inscribir al prestador de servicios de certificación en un registro que no se llegó a crear, ni evaluar a los prestadores de servicios de certificación, puesto que no existía ni la normativa de evaluación ni las entidades evaluadoras.

A partir de esta situación legal de partida tan dificultosa para la prestación de servicios de certificación digital en el ámbito privado, la Orden del Ministerio de Hacienda HAC/1181/2003, de 12 de mayo, y la reciente Ley 59/2003, de 19 de diciembre, de firma electrónica, han venido a impulsar el sector de la certificación.

Efectivamente, la nueva ley determina que será el Ministerio de Ciencia y Tecnología el que establecerá el reconocimiento de los prestadores de servicios de certificación y dará por finalizado un período en el que se ha producido una amplia normativa de menor rango con criterios muy diversos en lo que se refiere a dicho reconocimiento. La nueva situación legal dará las mismas oportunidades a los distintos proveedores de certificación digital, y permitirá el desarrollo de otros prestadores alternativos.

7. Usos de los certificados para firma electrónica

La seguridad de las transacciones se consigue a través de mecanismos que favorecen la confidencialidad de las comunicaciones o la autenticación de los intervinientes.

Para ello, los extremos de la comunicación tienen que estar dotados de los mecanismos técnicos que posibiliten el uso de la criptografía y de los certificados.

La panoplia de servicios posibles es extensa, éstos son algunos de los usos:

Cifrado

Los sistemas de clave pública permiten el cifrado de los datos utilizando la clave pública del destinario. De esta forma, únicamente el destinatario—poseedor de la clave privada— podrá acceder a la información.

Firma en algunas aplicaciones de amplio uso

El impulso de la firma electrónica en los últimos años ha motivado que las principales empresas de desarrollo de software hayan adaptado sus aplicaciones a las tecnologías de PKI. Entre estas aplicaciones debemos destacar la posibilidad de firmar disponibles en las aplicaciones que integran el Office XP y la solución de Adobe para la firma de PDF con el Acrobat.

Factura telemática

El impulso definitivo de la facturación telemática viene de la mano de la Orden HAC/3134/2002 y en especial de la reciente Resolución 2/2003, de 14 de febrero, del Director General de la Agencia Estatal de Administración Tributaria.

Relaciones con la Agencia Tributaria

Es sin duda en el ámbito Tributario donde se han conseguido los mayores avances en la denominada Administración on-line, e-Administración o e-Goverment, pudiendo realizarse en la actualidad un gran número de actos con la AEAT, entre los que destacan especialmente los relativos a la presentación de declaraciones de carácter tributario y, entre ellos los referentes a los tributos del IRPF, IVA, Sociedades, Patrimonio, Aduanas e Impuestos Especiales.

Partes de accidentes de trabajo

El proyecto Delt@ es una iniciativa del Ministerio de Trabajo para facilitar la presentación de los partes de baja laboral por medios telemáticos.

Toma de decisiones en juntas universales

La reciente Ley 26/2003, de 17 julio, por la que se modifican la Ley 24/1988, de 28 de julio de 1988, del Mercado de Valores, y el texto refundido de la Ley de Sociedades Anónimas, aprobado por el Real Decreto Legislativo 1564/1989, de 22 de diciembre de 1989, con el fin de reforzar la transparencia de las sociedades anónimas cotizadas define y promueve la posibilidad de que los accionistas puedan votar de forma electrónica en las Juntas. Ésta es sólo una de las posibilidades de votación, que pueden extenderse a todo tipo de procesos electorales o referéndums que podrán ser realizados de manera rápida y segura y de forma on line mediante la utilización de certificados digitales.

Contratación telemática

La aún reciente Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico, regula en el título IV la contratación por vía electrónica. La aportación de una prueba cualificada de la celebración de los contratos electrónicos se configura como un elemento fundamental en este tipo de relaciones, por lo que la utilización de la firma electrónica en general y de los certificados Camerfirma en especial, se perfila como un elemento prácticamente indispensable a la hora de contratar por estos medios.
Servicios que requieren control de identidad en el e-Commerce

Todos los servicios ofrecidos de forma on line y que requieran una correcta identificación del usuario podrán beneficiarse de la firma electrónica y de los certificados digitales. Mediante la utilización de certificados digitales, cuando un usuario accede por ejemplo a un Market Place, el sistema podrá controlar y limitar su forma de acceso en función de la persona que se lo presente, pudiendo además firmar los pedidos que realice a modo de prueba de compra y contratación electrónica.

Además de los usos anteriormente citados, se pueden señalar también los siguientes: firma de escritorio, seguridad del correo electrónico, SSL, control de acceso en las web e intranet, cumplimiento de niveles altos LOPD con SSL, e-Commerce financiero,
etcétera.

8. Conclusiones

Las estadísticas muestran como común denominador el desconocimiento de los usuarios cuando desconfían de Internet como plataforma de realización de transacciones y el de las empresas cuando no son conscientes de las ventajas que tiene la adopción de medidas de seguridad o lo catastrófico que puede ser no contar con ellas.

Las cámaras de comercio, teniendo en cuenta las tecnologías existentes, promueven soluciones técnicas para reforzar la seguridad de las transacciones y desarrollan un gran esfuerzo de difusión y formación entre las empresas.

Todo ello orientado hacia un objetivo de competitividad de las empresas y ciudadanos españoles en un complejo mundo virtual en el que no es asumible ningún retraso en relación con los países de nuestro entorno.

Referencias bibliográficas

[1] ASIMELEC (2003): Estudio sobre el estado actual de la seguridad de los sistemas de la información en las empresas entrevistadas, de acuerdo con la Norma ISO/IEC17799:2000.
[2] CÁMARAS DE COMERCIO (2003): Estudio sobre las Barreras Sectoriales para la Venta Electrónica.
[3] DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica, Diario Oficial de las Comunidades Europeas, 19-1-2000.
[4] ESTUDIO COMERCIO ELECTRÓNICO B2C EN ESPAÑA, VENTAS AL CONSUMIDOR-B2C, AECE-fecemd 2003.
[5] LEY 59/2003, de 19 de diciembre, de firma electrónica, BOE de 20 de diciembre de 2003.

Proyecto Binum. Firma electrónica combinada RSA y curvas elípticas

2 respuestas

En Albalia hemos creado un laboratorio de productos y servicios relacionado con la Sociedad de las Información que desarrolla mecanismos probatorios en torno a los documentos electrónicos, sistemas de notificación y publicación fehaciente y otras iniciativas avanzadas.

Cuando identificamos ciertos riesgos en el uso de algoritmos concretos de hash y de criptografía asimétrica nos planteamos la conveniencia de utilizar sistemas duales que garantizaran que si se producen colisiones respecto de un algoritmo se mantenga otro en el que la colisión respecto al mismo documento sea virtualmente imposible.

Uno de los resultados de esta iniciativa es el Proyecto Binum.

Binum es un proyecto de I+D+i realizado en cooperación por Idoneum Electronic Identity y Albalia Interactiva y con la colaboración de la Universitat de les Illes Balears que tiene por objeto la creación de un criptosistema PKI de firma electrónica que combina los algoritmos criptográficos RSA y de curvas elípticas.

Las tareas realizadas en el año 2008 para este proyecto han sido cofinanciadas por el Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011 (con referencia TSI-020100-2008-681).

El objeto del proyecto Binum es crear la tecnología suficiente para poder realizar implementaciones de sistemas PKI lo más seguras posibles llevando el estado del arte un poco más allá mediante al uso combinado de los algoritmos RSA y de curvas elípticas.

Para ello son necesarios principalmente los elementos que se detallan a continuación:

  • Estudio y propuesta de modificación de especificaciones, estándares y protocolos para la inclusión de esta novedad, que permita una evolución de los sistemas usados en la actualidad a esta nueva tecnología.
  • Realización de una aplicación que demuestre dichos conceptos.
  • El desarrollo de un dispositivo seguro de creación de firma, compatible con la definición que de éste hace la ley 59/2003, de 19 de diciembre, de firma electrónica, y el desarrollo técnico de estas características en la especificación CEN CWA 14169.
  • El desarrollo del middleware necesario para poder interactuar con el dispositivo seguro de creación de firma desde aplicaciones ejecutadas en ordenadores personales y demás sistemas.