Archivo de la categoría: Registro telemático

Mesa redonda el 26 de noviembre de 2009

Deja un comentario

El 26 de noviembre de 2009, ASIMELEC organiza el III Congreso de Identidad Digital y DNI electrónico.

Un aspecto especial de este Congreso es la posibilidad de debatir en el marco de la comida sobre diferentes temas, de forma que los coordinadores de las diferentes mesas presentamos las conclusiones en la sesión de tarde.

El tema de la mesa que yo coordino es «La firma electrónica en el marco de las Leyes 11/2007, 30/2007 y 56/2007» . Os invito a incorporaros a esta mesa a aquellos a quienes interese el tema.  No sé ahora mismo el número previsto de contertulios para cada mesa, así que quienes estéis interesados, no lo dejéis para el último día, porque es posible que tenga que dejar a alguien fuera si hubiera muchas peticiones.

Actualización: Ya se ha apuntado el número suficiente de participantes. Gracias a todos, y perdonad los que no habéis llegado a tiempo.

Características de zBackTrust

6 respuestas

La firma electrónica es parte de los requisitos que tienen que cumplir entidades financieras y aseguradoras (junto con otras entidades «de especial relevancia económica») para implementar su sistema de interlocución telemática según se dicta en el artículo 2 de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. También forma parte de la Sede Electrónica, el Registro Telemático y los sistemas de publicación y notificación fehaciente que todos los organismo de la administración pública deben implementar como consecuencia de la aplicación de las Leyes  30/2007, de 30 de octubre, de Contratos del Sector Público y 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

En las instituciones que cuentan con equipos System z, la solución de firma electrónica de elección es zBackTrust, conjunto de módulos de firma electrónica diseñado por Albalia Interactiva para los equipos de IBM y comercializado conjuntamente con INSA.

El módulo principal es un servicio Web basado en el estándar OASIS DSS (Digital Signature Service) que se instala de forma centralizada y que ofrece funcionalidades de Firma Electrónica Remota, Verificación y Ampliación de Firmas XAdES-XL a toda la organización. Dispone de funcionalidades de firma electrónica de PDFs y está disponible también en forma de API.

Estas son algunas de las características de zBackTrust:

  • Celeridad en los procesos de generación y comprobación de Firmas electrónicas a través de API y DSS (Digital Signature Service).
  • Generación de firmas completas XAdES – XL
  • Validación de certificados y firmas electrónicas (permite comprobar los certificados de cualquier prestador de servicios de certificación)
  • Generación de evidencias electrónicas para la custodia digital de documentos electrónicos firmados
  • Compatible con el procesador criptográfico (HSM) IBM 4764
  • Compatible con diferentes Middleware: WebSphere, Weblogic y Tomcat.
  • Entornos z/OS y z/Linux
  • Cumplimiento de estándares de ETSI y OASIS.

Ventajas de la Solución

  • Indenpendiza los servicios de seguridad y confianza de los procesos de negocio, al disponer de una infraestructura común de firma electrónica para todas las aplicaciones en las que se requiere integrar dichas funcionalidades.
  • Garantiza el crecimiento del sistema con nuevas funcionalidades, sin que afecte al desarrollo del resto de aplicaciones.
  • Minimiza los costes de desarrollo y mantenimiento, evitando la programación de código común en múltiples aplicaciones y plataformas.
  • Garantiza la capacidad de aceptar certificados de cualquier prestador de servicios de certificación europeo.
  • Permite cumplir con la normativa reciente:
    • Factura electrónica (Orden PRE/2971/2007)
    • Contratación Pública (Ley 30/2007)
    • Administración Electrónica (Ley 11/2007)
    • Interlocución Telemática (Ley 56/2007)
    • Directiva 1999/93/CE

Otros artículos relacionados:

zBackTrust, firma electrónica para System Z

10 respuestas

Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

Referencias:

Interoperabilidad de los Prestadores de Servicios de Certificación

8 respuestas

En pasados artículos he hecho referencia a que un cumplimiento diligente de la Directiva 199/93/CE de firma electrónica implicaba la aceptación de los certificados reconocidos (o cualificados) de todos los prestadores de servicios de certificación europeos.

Este punto de vista ha quedado recogido, por ejemplo en la Orden EHA/962/2007, pero hay quien piensa que la Ley 11/2007 y el Esquema Nacional de Interoperabilidad dejan margen para que un organismo concreto pueda establecer criterios propios de aceptación.

Debe aclararse que «los criterios propios» de aceptación solo son de aplicación a las firmas avanzadas, y que el criterio general es que las firmas avanzadas basadas en un certificado reconocido (es decir, cualificado), o en un certificado en cuya política se han utilizado mecanismos de verificación de identidad del firmante presenciales o equivalentes a presenciales, tienen un nivel de aceptación próximo al de las firmas reconocidas o cualificadas.

Sin embargo para facilitar la interoperabilidad de las firmas electrónicas en el marco europeo, hay algunos detalles que conviene tener en cuenta:

  1. Las URL de la CRL y del OCSP del prestador deben estar correctamente codificados en todos sus certificados (extensión AIA).
  2. El servicio OCSP, o, al menos el de CRL, de los prestadores válidos (los que figuran en la TSL) han de estar accesibles sin coste
  3. La información de URL de la Root, de la CPS, de los servicios OCSP y CRL de cada prestador de servicios de certificación deben estar codificados en las TSL de cada estado (que en España corresponde al MITyC, no al MAP) y en la TSL armonizada.
  4. Siempre que el destinatario de una firma sea una entidad privada, la firma electrónica debería construirse con arreglo a las especificaciones XAdES-XL o CAdES-XL (respectivamente descritas en las normas TS 101 903 y TS 101 733). En general, este tipo de firma debería ser de elección en todos los casos. Las administraciones públicas que generen firmas siempre deberían hacerlo con estos formatos (ya que eliminan la carga de la verificación de validez del certificado al receptor)

Es necesario contar con una lista actualizada de prestadores europeos, que debería ser posible obtener a partir del sistema de notificación del artículo 11 de la directiva 1999/93/CE. La información de cada prestador debería contener, además de la URL de la home page, su dirección, email y teléfono (lo que más o menos ya se recoge hoy en día) junto con las URL de la Root, de la CPS, de los servicios OCSP y de la CRL de sus CAs (lo que es esencial para la interoperabilidad, pero resulta difícil de encontrar en la página web del prestador en el sistema actual) .

Es necesario que los sistemas nacionales de supervisión que notifican el estado de gestión de los sistemas de certificación de su pais a la Comisión Europea recojan los datos mencionados en sus repositorios. En España, esta responsabilidad corresponde al MITyC, según se establece en la Ley 59/2003.

Conviene poner en valor los Sistemas Voluntarios de Acreditación, como el de ASIMELEC.

Y es conveniente ir eliminando mecanismos alternativos de verificación de validez de certificados como los definidos en la orden EHA/1181/2003 que tuvieron su razón de ser antes de la publicación de la Ley 59/2003, pero no tienen sentido en el actual marco legislativo. El repositorio de la AEAT ya solo tendría sentido en el marco de la normativa de factura electrónica. En su momento supuso un gran empuje a los prestadores de servicios de certificación españoles, pero en la actualidad supone  un ejemplo mal copiado por muchos organismos públicos que crean sus propias listas de prestadores de servicios de certificación sin ser conscientes con que basta con remitirse a la lista del MITyC.

El problema de censar a los prestadores de servicios de certificación, que NUNCA debería ser un problema del tercero que confía, se está convirtiendo en uno de los frenos al desarrollo de la firma electrónica. Y hubiera sido algo muy sencillo de desarrollar si se hubiera aplicado correctamente el artículo 11 de la directiva 1999/93/CE. Es decir, si los datos antes indicados (URL de la Root, de la CPS, de los servicios OCSP y de la CRL de las CAs de cada pais) se hubieran recogido correctamente desde el principio, y el comité del artículo 9 hubiera sido más proactivo.

Por esta ineficiencia de la Comisión ha sido necesario gastar cientos de miles de euros en proyectos de interoperabilidad cuyos resultados están por ver, y se han creado malas costumbres que se tardará años en erradicar.

Otros artículos relacionados:

Seminario eAdministración en Sevilla

1 respuesta

El próximo 20 de octubre de 2009 tendrá lugar en Sevilla el Seminario «eAdministración –
Adaptación a la Ley 11/2007 y a la Ley 30/2007» que impartiremos, mano a mano, Bartolomé Borrego, Vocal Responsable de la División de Nuevas Tecnologías en la Delegación Especial de la AEAT en Andalucía y yo.

Lo organiza Atenea Interactiva y cuesta 300 euros + IVA.

Creo que puede ser de interés para organismos públicos o de participación pública que se enfrentan al reto de aplicar la Ley 11/2007 y a la Ley 30/2007, en lo relativo a la Administración Electrónica y a la Contratación Pública Electrónica.

Incluyo a continuación el programa previsto.

9:00-9:30    Recepción de los asistentes y entrega de la documentación

9:30-10:15 Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y  contratación pública.

D. Julián Inza

10:15 -10:45 Identidad Digital y DNIe.

  • La identidad digital en Internet.
  • Los sistemas de federación de identidades
  • Los sistemas “fuertes” de autenticación
  • Los certificados digitales y el DNIe
  • La gestión de las capacidades y la representación.
  • Aceptación de Certificados de otros países.

D. Julián Inza

10:45-11:15 Coffee-Break

11:15-11:45 Firma Electrónica

  • Certificados Reconocidos
  • Dispositivos seguros de creación de firma. 
  • La firma electrónica reconocida
  • Servicios de validación de certificados.
  • La certificación de tiempo. El TimeStamping
  • La firma electrónica de larga duración (CAdES/XAdES)
  • Los servicios de firma electrónica (OASIS DSS)

D. Julián Inza

11:45-12:15 Implementación del Perfil del Contratante

  • Requisitos a cumplir. Artículo 42 de la Ley de 30/2007.
  • La Plataforma de Contratación del Estado
  • La prueba del momento: Time Stamping. 
  • El testigo electrónico.

D. Julián Inza

12:15-13:15 Facturación electrónica en el sector público

  • Formatos y Firmas. 
  • Plataformas.
  • Gestión integrada de recepción de facturas (papel y electrónicas)

D. Julián Inza

13:15-13:45 Claves de la reforma de la Ley 11/2007 de acceso de los ciudadanos a los servicios electrónicos

  • Ámbito.
  • Principios.
  • Derechos de los ciudadanos.

D. Bartolomé Borrego Zabala

13:45-14:15  Registros Electrónicos o telemáticos

  • Antecedentes. Requisitos.
  • Justificaciones de presentaciones telemáticas.
  • Regulación de los plazos

D. Bartolomé Borrego Zabala

14:15-15:30  Comida: Cocktail Buffet

15:30-16:15 Notificaciones fehacientes por medios electrónicos

  • Notificaciones telemáticas seguras.
  • Consulta de notificaciones.
  • Notificación por comparecencia.
  • Publicación electrónica del tablón de anuncios o edictos.
  • SMS y Correo electrónico certificados.

D. Bartolomé Borrego Zabala

16:15-16:45  Uso de la firma electrónica en la Administración Pública

  • Sistemas de firma electrónica para la actuación administrativa automatizada.
  • Firma electrónica del personal al servicio de las Administraciones Públicas.
  • Identificación y autenticación de los ciudadanos por funcionarios públicos.

D. Bartolomé Borrego Zabala

16:45-17:15  Plataformas de Pagos

  • Justificante electrónico del pago. Medios de pago.
  • Pasarela de pago de la AEAT. Otras pasarelas de pago.
  • Centralización de servicios de pagos electrónicos.
  • Plataforma de Servicio de Pago Telemático (Red.es)

D. Bartolomé Borrego Zabala

17:15-17:45  Copias electrónicas, Compulsa electrónica y Digitalización Certificada.

  • Documento electrónico
  • La compulsa electrónica por las Administraciones Públicas.
  • Copia de documentos electrónicos. Digitalización Certificada.

D. Bartolomé Borrego Zabala

17:45-18:30  Representación en los procedimientos electrónicos.

  • La representación y la Colaboración Social.
  • Apoderamiento para la realización de trámites electrónicos

D. Bartolomé Borrego Zabala
 
18:30-19:00  Coloquio y conclusiones

Firma electrónica con OASIS DSS

10 respuestas

La especificación DSS (Digital Signature Services) alcanzó el nivel de Standard de OASIS en junio de 2007, en su versión 1.0.

Esta especificación simplifica la gestión de las firmas electrónicas en las organizaciones, permitiendo la definición de modelos de gestión centrados en servidores que se alinean con las arquitecturas de sistemas más avanzadas. Las claves privadas se pueden gestionar de forma segura en entornos centralizados y puede evitarse la dispersión de material criptográfico en los ordenadores individuales de los usuarios, robusteciendo la política de seguridad mientras se saca partido a las múltiples funcionalidades de la firma electrónica.

DSS describe dos protocolos de tipo petición/respuesta basados en XML, uno para generar firmas electrónicas  y otro para verificarlas. Al usar estos protocolos, un cliente puede enviar documentos al servidor y obtener el documento firmado electrónicamente, o enviar un documento firmado al servidor y obtener los datos de la comprobación de la firma electrónica.

DSS da cobertura a diferentes tipos de firmas electrónicas, como las basadas en XML y CMS. Se desarrolla sobre un núcleo de elementos y procedimientos que pueden perfilarse para proporcionar determinadas funciones como time-stamping (incluyendo los basados en XML), validaciones de vigencia de certificados de múltiples prestadores de servicios de certificación, sellos corporativos, sellos de sede electrónica, marcas de notificación o publicación fehaciente, o firma de código ejecutable.

El estándar DSS de OASIS se desarrolló gracias al esfuerzo de reprerentantes de la American Bar Association, Cancillería Federal de Austria, BEA Systems, CATCert-Agencia Catalana de Certificacio, IBM, Nokia, Universal Postal Union, y otros.

Albalia Interactiva ha desarrollado una de las pocas implementaciones que existen en el mundo de este protocolo, que está destinado a convertirse en el estándar internacional más adoptado, como lo demuestra, por ejemplo, su inclusión en Peppol (Pan European Public Procurement Online).

Los servicios DSS forman parte de la suite de productos BackTrust con implementaciones nativas en todas las plataformas (por ejemplo, aquí incluyo nuestro folleto Albalia BackTrust DSS for Windows Servers). También forman parte de los servicios de EADTrust .EADTrust, European Agency of Digital Trust, es una empresa de reciente creación, surgida como spin-off de Albalia, y que comercializa diversos servicios de eConfianza. Algunos de estos servicios ya se anunciaron por parte de Albalia hace algún tiempo.

Entre los servicios disponibles están los de generar y comprobar firmas electrónicas basadas en XAdES y en PDF. Las opciones más avanzadas (denominadas firmas completas o AdES-XL) facilitan la custodia digital, y deberían ser generadas en origen para facilitar su comprobación al tercero que confía en los certificados.

Estos servicios representan la posibilidad de que el sector privado pueda disfrutar de servicios equivalentes a los que proporciona la herramienta @firma del MAP y de la Junta de Andalucía, o PSIS (Plataforma de Servicios de Identificación y firma) de CatCert en el sector público, pero actualizados a las versiones más recientes de los estándares técnicos. También en muchos organismos del ámbito público pueden preferir el uso de EADTrust al de @firma, dependiendo de cuales sean sus necesidades en relación con la firma electrónica.

Modernización de la Administración Pública

Deja un comentario

Tenemos buenas noticias.

Dos nombramientos en el Departamento de Justicia y Administración Pública del Gobierno Vasco (Eusko Jaularitza) demuestran la sensibilidad de los nuevos responsables por la eAdministración 2.0:

Ambos bloggers veteranos muy sensibilizados por mejorar los servicios al ciudadano.

Si ya estaban escasos de tiempo, seguro que a partir de ahora no les va a sobrar.

EADTrust, en la Escuela Banespyme-Orange

1 respuesta

Banespyme - OrangeOrange, la Fundación Banesto Sociedad y Tecnología y el IE Business School están llevando a cabo la 8ª Edición del Concurso Escuela Banespyme-Orange.

EADTrust, la spin-off de Albalia Interactiva especializada en Servicios de Confianza de la Sociedad de la Información,  ha sido seleccionada en la primera fase.

El proceso del Concurso es el siguiente:

Selección inicial de las veinte mejores ideas de negocio para la puesta en marcha de aquellas iniciativas empresariales en el ámbito de las tecnologías Innovadoras, consistentes en acceso a una fase de formación y tutoría personalizada para el desarrollo de Planes de Negocio.

Posterior selección de los diez mejores proyectos de entre los veinte anteriormente preseleccionados que optan a una segunda fase de formación especializada y presentación ante un Panel de Inversores.

Selección final de dos proyectos ganadores de entre los diez que hayan superado la segunda fase y que pasarán a la fase final de incubación de sus proyectos.

Los servicios que prestará EADTrust vienen avalados por el modelo testado por Albalia Interactiva y se destinan a empresas de toda Europa.

El pasado 23 de mayo se desarrolló la primera sesión en el Instituto de Empresa (para los participantes de Madrid)

Administración electrónica

8 respuestas

Lo que no se dice cuando se habla de la administración electrónica es que en la realidad el mundo electrónico y el del papel tendrán que convivir durante muchos años y que la clave de la convivencia es la transferibidad de valor probatorio entre ambos mundos.

En relación con la administración electrónica y el valor probatorio de los documentos electrónicos existen algunos aspectos claves:

  • la sede electrónica, lugar donde se implanta el sistema de custodia digital (denominado ARCE, Archivo de Constancias Electrónicas) y en el que es posible acceder a los documentos en base a su localizador.
  • la firma electrónica, que identifica al titular del órgano administrativo al que se le atribuyen potestades en virtud de su nombramiento, o al ciudadano (persona física o jurídica), en su caso, cuando inicia un trámite.
  • los metadatos de los documentos que amplian la visión documental (básicamente establecidos en Dublin Core Metadata) y reflejan derechos, estados, fechas, anotaciones, cancelaciones y obliteraciones, endosos, validez y referencias a otros documentos o a otras versiones y son esenciales para determinar la completitud del documento

Hace un tiempo estuve analizado los elementos clave que determinan la autenticidad de los documentos en papel, junto con algunas propiedades que se atibuyen a los originales y no a las copias. En el análisis intenté trazar paralelismos para conseguir los mismos efectos con los documentos electrónicos. La primera conclusión es que los conceptos desarrollados en años de historia respecto a los documentos en papel no sirven tal cual al repensar el tratamiento de los documentos electrónicos.

En ocasiones, he contado mi teoría sobre la convivencia documental, y recientemente he tratado el tema en el Seminario de Administración Electrónica de Atenea Interactiva que se celebró el 25 de febrero. Mañana lo comentaré de nuevo en la reedición de este seminario.

Exito en el evento de eAdministración de Atenea Interactiva

1 respuesta

Escribo este post desde el Instituto de Postgrado de la UAX (Universidad Alfonso X El Sabio), en cuya sede se celebra el evento eAdministración (eGovernment) organizado por Atenea Interactiva, del que ya informé.

La verdad es que con algo más de 80 asistentes, la asistencia se acerca el límite de capacidad de la sala, por lo que Atenea ha tenido que cerrar la inscripción.

Asistencia al evento de eGovernment organizado por Atenea Interactiva

Para los que no han podido acudir a esta sesión, Atenea ya ha abierto una nueva convocatoria que tendrá lugar el 12 de marzo de 2009.

Os recuerdo los titulares del contenido de la Jornada:

  • Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y  contratación pública.
  • Identidad Digital y DNIe.
  • Firma Electrónica
  • Implementación del Perfil del Contratante
  • Facturación electrónica en el sector público
  • Claves para transformar procesos administrativos e implementar procesos telemáticos
  • Notificaciones fehacientes por vía telemática
  • La Compulsa electrónica y la Digitalización Certificada.
  • Archivo de Constancias Electrónicas y Carpeta Ciudadana
  • Registro Telemático
  • Coloquio y conclusiones