Archivo de la categoría: Sello de tiempo

Próximos eventos «Trust Services and eID Forum» y «CA-day» en Split, Croacia el 24 y 25 de septiembre de 2025

Deja un comentario

El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).

¿A quién va dirigido?

El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.

Contenido

Entre los temas que se debatirán este año, abordaremos los siguientes

  • Normalización y certificación de la Cartera de Identidad Digital Europea
  • Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
  • Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
  • Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
  • Estrategias para promover el mercado de la identidad digital

Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.

Agenda en inglés

El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo

Inscripción

Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.

Agenda en español

11th TSF – 17th CA Day – Agenda 20250804-ESDescarga

Que es el sello de tiempo cualificado

1 respuesta

Un sello de tiempo cualificado es una marca digital emitida por una Autoridad de Sellado de Tiempo (TSA, por sus siglas en inglés: Timestamping Authority), que certifica que un documento o conjunto de datos existía en un momento específico y no ha sido alterado desde entonces. Es ampliamente utilizado en firmas electrónicas, auditorías y procesos legales para garantizar la integridad y la autenticidad temporal de la información. En contextos como la Unión Europea, un sello de tiempo cualificado cumple con normativas estrictas (como el reglamento eIDAS) y tiene validez legal, por la presunción establecida en el articulo 326.4 de la LEC (Ley de Enjuiciamiento Civil)

El sello de tiempo se basa en criptografía y contiene un hash del documento original junto con una marca temporal firmada por la TSA con su clave privada.

¿Cómo se calcula el hash de un sello de tiempo?

El proceso para generar un sello de tiempo implica varios pasos:

  1. Hash del documento original:
    • Se toma el documento o los datos que se quieren sellar (por ejemplo, un archivo PDF, texto, etc.).
    • Se calcula un hash del documento usando un algoritmo criptográfico como SHA-256. Este hash es una cadena única de longitud fija (por ejemplo, 256 bits para SHA-256) que representa los datos de forma unívoca. Cualquier cambio en el documento produciría un hash diferente.
    • Ejemplo: Si el documento es «Hola mundo», su hash SHA-256 sería algo como a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e.
  2. Solicitud a la TSA:
    • El hash calculado se envía a la TSA junto con una solicitud de sello de tiempo.
    • La TSA no necesita el documento original, solo el hash, lo que garantiza la privacidad del contenido.
  3. Generación del sello de tiempo por la TSA:
    • La TSA toma el hash recibido y lo combina con la fecha y hora actuales (obtenida de un reloj sincronizado con una fuente confiable, como un servidor NTP).
    • Luego, la TSA genera un «token de sello de tiempo» que incluye:
      • El hash del documento.
      • La marca temporal (fecha y hora).
      • Información sobre la TSA (como su identificador).
      • Una firma digital creada con la clave privada de la TSA sobre estos datos, usando un algoritmo como RSA o ECDSA.
  4. Resultado:
    • El token de sello de tiempo es devuelto al solicitante en un formato estándar, como CMS (Cryptographic Message Syntax, definido en RFC 3161), codificado frecuentemente en Base64 para facilitar su transporte.

Certificados para DEA-AAPP o Pub-EAA

Deja un comentario

En la Arquitectura y Marco de Referencia de la Cartera de Identidad Digital Europea se recoge la opción de que las entidades de las Administraciones Públicas puedan generar Declaraciones de Atributos de forma similar a los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA).

Logo EUDI Wallet

En el modelo de confianza, tanto los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA) como las entidades públicas emisoras de Declaraciones Electrónicas de Atributos (DEA) deben contar con un certificado electrónico con el que se firman las declaraciones electrónicas de atributos.

EADTrust está generando ya certificados de prueba alineados con el modelo de confianza y puede prestar, si se requiere, tanto los servicios DECA (asociados a fuentes auténticas) como declaraciones DEA-AAPP (en inglés Pub-EAA).

Hay que tener en cuenta que la norma ETSI TS 119 412-5 se va a modificar para incorporar un nuevo OID esi4-qcStatement-10 solo para Organismos del Sector PúblicoOSP (en inglés PSB – Public Sector Bodies), que incluirá esta información:

  • countryOfLegislation deberá contener el código de país alfa-2 del marco legislativo del organismo del sector público, considerando que se utilizará «EU» para la legislación de la UE.
  • authSourceIdentification deberá contener una identificación única de la fuente auténtica para la que el OSP emite declaraciones de atributos.
  • nameOfLegislation deberá contener el nombre de la legislación que define al OSP como responsable de la fuente auténtica. Esta entrada deberá contener al menos la traducción al inglés del nombre de la legislación, pero también puede contener traducciones a otros idiomas.
  • La sintaxis queda así:

esi4-qcStatement-10 QC-STATEMENT ::= { SYNTAX QcPSB IDENTIFIED BY id-etsi-qcs-QcPSB }

id-etsi-qcs-QcPSB OBJECT IDENTIFIER ::= { id-etsi-qcs 10 }

QcPSB ::= SEQUENCE {
countryOfLegislation PrintableString (SIZE (2))
(CONSTRAINED BY { — ISO 3166 alpha-2 codes only — }),
— this field shall contain the alpha-2 country code of the legislation
— framework of public sector body in the case of EU legislation use
— the «EU» country-code.

authSourceIdentification UTF8String,
— this field is for the unique identification of authentic source

nameOfLegislation LegalDescriptions
}

LegalDescriptions ::= SEQUENCE SIZE (1..MAX) OF LegalDescription

LegalDescription ::= SEQUENCE {
language PrintableString (SIZE(2)), –ISO 639-1 language code
— the language (code) of the legislation
— description

legislation UTF8String
— the legislation name in the language set, at minimum the english
— (en) translation of the legistlation’s name shall be included
}

Contacte con EADTrust para adaptar su entidad u organismo a los retos del despliegue de la Cartera de Identidad Digital Europea.

Más información sobre la Cartera de Identidad .Digital Europea.

EAD Trust Factory los servicios cualificados de EADTrust como infraestructura propia de entidades digitalizadas

Deja un comentario

GoCertius es la base conceptual (con su forma particular de certificar evidencias digitales) sobre la que EADTrust y Garrigues (a través de su división g-digital) han construido los servicios de EAD Trust Factory. Una panoplia de servicios que pasan a formar parte de la infraestructura de nuestros clientes, como si ellos mismos fueran Prestadores Cualificados de Servicios de Confianza Digital.

Son clientes de diferentes tamaños y sectores que así pueden desarrollar entornos de gestión de evidencias electrónicas sacando ventaja de los servicios regulados, tales como los que se describen en el Reglamento europeo eIDAS y su ampliación eiDAS2.

Las soluciones de EAD Trust Factory, al integrar servicios de confianza digital y optimizar procesos legales, pueden beneficiar a diversas industrias que requieren gestión segura y eficiente de documentos y transacciones digitales. De esta forma se pueden optimizar los procesos empresariales de gestión rediseñándolos para que sean completamente digitales y confiables por diseño, sabiendo que se podrá contar con evidencias digitales prescindiendo del papel. Y que estas evidencias podrán acreditar los servicios prestados y su seguridad, con certeza del momento en que se prestaron en cualquier contexto de resolución de controversias.

A continuación, se presentan algunos de los sectores que se benefician de estas soluciones:

  1. Sector Financiero y Seguros:
    • Beneficios: La gestión segura de documentos financieros y la autenticidad de las transacciones son cruciales en este sector. EAD Trust Factory añade servicios cualificados a la infraestructura de cada entidad para ayudar a cumplir con las regulaciones financieras y de protección de datos, como el Reglamento General de Protección de Datos (GDPR), Digital Operational Resilience Act (DORA), Directiva 2022/2555 (NIS2) y el Reglamento 910/2014 eIDAS con los cambios introducidos por el Reglamento 1183/2024.
  2. Industria Legal y Jurídica:
    • Beneficios: La generación de evidencias digitales y la gestión de contratos electrónicos son fundamentales para este sector. EAD Trust Factory facilita la creación de documentos legales electrónicos seguros y auténticos, mejorando la eficiencia en los procesos legales. Por su influencia en otras actividades el punto de vista legal es crucial para entender el ·»Compliance» la presunción Iuris Tantum de los servicios cualificados de confianza
  3. Sector de la Salud:
    • Beneficios: La gestión de registros médicos electrónicos o los Consentimientos Informados requiere altos niveles de seguridad y confianza. EAD Trust Factory puede ayudar a proteger la privacidad de los pacientes y asegurar la integridad de los datos médicos. También ayuda digitalizar historias clínicas, respetando la normativa definida para ellos,
  4. Industria de la Energía y Recursos Naturales:
    • Beneficios: La optimización de procesos y la gestión eficiente de documentos son clave en este sector, donde la seguridad y el cumplimiento normativo son fundamentales. EAD Trust Factory puede ayudar a mejorar la eficiencia operativa y reducir costes. También la contratación se beneficia de un marco regulatorio más garantista.
  5. Sector de Transporte y Logística:
    • Beneficios: La gestión de documentos de transporte y la trazabilidad de mercancías requieren sistemas confiables. EAD Trust Factory proporciona soluciones para asegurar la autenticidad y seguridad en la gestión de documentos relacionados con el transporte y la logística. En particular, albaranes gestionados de forma digital que puedan surtir efecto también como documentos híbridos con versión en papel de ser necesaria.

En resumen, cualquier industria que requiera gestión segura de documentos y transacciones digitales puede beneficiarse de las soluciones de EAD Truat Factory. La plataforma es especialmente útil para sectores con altos requisitos de seguridad y cumplimiento normativo.

EAD Trust Factory está formado por diferentes servicios cualificados de confianza, entre los que destacan los sellos de tiempo`, las notificaciones fehacientes y las comprobaciones de validez de firmas y certificados electrónicos. También el Onboarding digital, incluyendo servicios de Videoidentificación.

Los servicios orquestados por EAD Trust Factory incluyen servicios cualificados de confianza definidos por el reglamento #eIDAS y desarrollos auxiliares que permiten dotar a cualquier proceso que incluya gestión digital de un respaldo regulatorio en forma de evidencias digitales con valor «Iuris Tantum» que aportar tanto en entornos MASC (Medios adecuados de solución de controversias) como contextos de litigación.

Y con infraestructura de Criptoagilidad Postcuántica resistente al futuro Criptocalipsis.

Llame al (+34) 917160555 o envíe un email a info(at)eadtrust.eu para pedir información y compruebe que adoptar recursos técnicos de PSC en su propia infraestructura es más sencillo y económico de lo que parece

Del Legado de Ettore Majorana al Criptocalipsis: Adopción de la computación postcuántica para firmas electrónicas y otros usos

1 respuesta

Ettore Majorana fue un físico italiano brillante y enigmático que dejó una huella imborrable en la ciencia antes de desaparecer misteriosamente en 1938. En 1937, propuso la existencia de unas partículas especiales, hoy llamadas “fermiones de Majorana”, que son únicas porque son sus propias antipartículas. Este concepto, inicialmente teórico, ha inspirado avances modernos como el chip Majorana 1, anunciado por Microsoft en febrero de 2025. Con este chip, la computación cuántica da un salto hacia adelante, pero también nos acerca a un “criptocalipsis”: el momento en que las claves privadas de los criptosistemas de clave pública actuales podrían descifrarse mediante la computación cuántica.

El avance en computación cuántica que supone el chip Majorana 1, con qubits topológicos, pone en riesgo la criptografía de clave pública basada en algortmos RSA y ECC.

Las autoridades de certificación (CAs), nos planteamos la disyuntiva: ¿priorizamos la emisión de certificados resistentes a la criptografía cuántica futuro o mejoramos los sistema de archivo electrónico para preservar documentos firmados electrónicamente con las técnicas actuales? Este artículo analiza el impacto técnico del Majorana 1, el papel del algoritmo de Shor y estrategias prácticas frente a esta transición.

Majorana 1 y el Algoritmo de Shor

El chip Majorana 1 usa los fermiones de Ettore para crear “qubits topológicos”, unidades de cálculo cuántico más estables que las tradicionales. Aunque el presentado estos días solo tiene 8 qubits, Microsoft promete escalarlo a miles o incluso un millón en pocos años. ¿Por qué importa? Porque con suficientes qubits (digamos, 3000-6000), una computadora cuántica podría usar el algoritmo de Shor para descifrar sistemas como ECC-512, comunes en certificados digitales, en cuestión de horas. Esto podría pasar hacia 2031-2033. Para RSA-4096, más resistente, harían falta 20,000 qubits o más, retrasando su caída quizás a 2035-2040. Sin embargo, el peligro ya existe: los datos protegidos hoy podrían ser guardados y descifrados después, un riesgo conocido como “recolectar ahora, descifrar después”.

Certificados Post-Cuánticos

La criptografía post-cuántica (PQC) utiiza algoritmos que no son vulnerables frente al algoritmos de Shor con problemas matemáticos resistentes, como los basados en retículos (lattices). En 2024, NIST estandarizó algoritmos clave:

  • CRYSTALS-Dilithium (ML-DSA): Usa Module-LWE y SIS; firmas de 2.7-4.8 KB, nivel 128-256 bits PQC.
  • FALCON (FN-DSA): Basado en NTRU-SVP; firmas compactas (0.6-1.2 KB), optimizado para verificación rápida.
  • CRYSTALS-Kyber (ML-KEM): Cifrado con MLWE; claves/cifrados de 0.8-1.6 KB.

La estrategia híbrida combina estos algoritmos con los clásicos: un certificado con ECDSA P-256 y ML-DSA-44 es válido hoy y seguro contra el algoritmo de Shor en el futuro. En eIDAS, un HSM QSCD como el Thales Luna S750 (firmware 7.7+, que figura en el listado de QSCD certificados en el Dashboard de la UE) genera estas claves duales. Para ECC, que se usó en pasaportes digitales COVID, la urgencia sería alta en otros usos que requieran validez a mayor plazo: 3000 qubits en 2031 podrían atacar estas longitudes de clave. Las claves basadas en RSA-4096 permiten una transición más pausada, pero iniciar PQC híbrido pronto evita prisas futuras.

Archivado Digital: Garantizar la Preservación

El archivado digital es un pilar técnico y regulatorio, especialmente bajo eIDAS (Art. 32), que exige poder validar firmas años después de su realización. Si el algoritmo de Shor rompe claves ECC en 2031 o RSA en 2035, las firmas y sello electrónicos basados en los certificados actuales deben seguir siendo verificables, Por lo que conviene ir adoptando técnicas apropiadas:

  • Sellos de tiempo cualificados: Firmarlos con ML-DSA asegura su resistencia cuántica.
  • Almacenamiento: Bases de datos replicadas y HSMs guardan certificados, CRLs y logs por 7-10 años (siguiendo las pautas de la norma ETSI EN 319 521).

Para CAs con predominio de RSA-4096, reforzar el servicio de archivo electróncio es prioritario: su mayor resistencia da tiempo, pero la trazabilidad es crítica. Para ECC, el archivado complementa PQC, protegiendo datos históricos mientras Shor acecha.

Recomendaciones para Prestadores de Servicios de Confianza DIgital

A modo de resumen

  • Prestadores que emiten certificados ECC : Deben considerar que existe una alta probabilidad de que se puede alcanzar un computador cuántico de 3000-6000 qubits en 2031, por lo que el algoritmo ECC-512 podría estar en riesgo (logaritmo discreto resuelto en O(n3)). Los PSC debería emitir certificados híbridos (ECC + PQC) ya y gestionar el archivo con sellos de tiempo basados en algoritmos PQC.
  • Prestadores que emiten certificados RSA-4096: Se requieren 20,000+ qubits (factorización en O(n3)), por lo que el computador cuántico apropiado podría no llegar hasta hasta 2035+. En este caso convendría priorizar el archivado digital, con sellos de tiempo basados en algoritmos PQC.

El chip Majorana 1, heredero del genio de Ettore, hace que el algoritmo de Shor se convierta en una amenaza más inminente de lo que se pensaba para los algoritmos de criptografía de clave pública ECC y RSA. La respuesta técnica combinará certificados PQC híbridos y un archivado robusto.

EADTrust, la entidad líder en Digital Transaction Management (DTM)

Deja un comentario

El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.

Los componentes clave de un sistema DTM incluyen:

  1. Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
  2. Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
  3. Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
  4. Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
  5. Autenticación digital: Verificando la identidad de los participantes en las transacciones.
  6. Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
  7. Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.

Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:

  1. Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
  2. Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
  3. Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
  4. Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
  5. Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
  6. Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras

Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.

En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies: 

Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.

Hashes encadenados en la Orden HAC/1177/2024

1 respuesta

La Orden HAC/1177/2024, de 17 de octubre, publicada en el Boletín Oficial del Estado (BOE) el 28 de octubre de 2024, establece las especificaciones técnicas, funcionales y de contenido que deben cumplir los sistemas y programas informáticos utilizados en los procesos de facturación por empresarios y profesionales en España.

Es el último paso en el desarrollo regulatorio que se ha producido tras la la inclusión del artículo 29.2.j) de la Ley 58/2003, de 17 de diciembre, General Tributaria, que ha incorporado una nueva obligación tributaria formal, para impedir o dificultar la fabricación, producción, importación y tenencia de sistemas y programas informáticos que permitan o faciliten la manipulación u ocultación de datos contables, de facturación o de gestión a la Administración tributaria.

Este cambio establece que los productores, comercializadores y usuarios de los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, deben garantizar la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros (ICALTI), sin interpolaciones, omisiones o alteraciones de las que no quede la debida anotación en los sistemas mismos, así como la obligación de que los mismos estén debidamente certificados y utilicen formatos estándares para su legibilidad.

Su desarrollo reglamentario se produjo con el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación, aprobado por el Real Decreto 1007/2023, de 5 de diciembre, detallando los requisitos que deben cumplir dichos sistemas con el fin de garantizar la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad (ICALTI) de los registros de facturación.

Este artículo resume la Orden HAC/1177/2024, y ofrece algunas orientaciones sobre su implementación.

Objetivos principales

  • Garantizar la integridad y seguridad de los registros de facturación: Los sistemas deben asegurar que los datos sean inalterables y estén protegidos contra manipulaciones indebidas.
  • Establecer requisitos técnicos y funcionales: Se detallan las características que deben cumplir los programas de facturación, incluyendo la capacidad de remitir información a la Agencia Estatal de Administración Tributaria (AEAT) y garantizar la trazabilidad de las facturas emitidas.
  • Estandarizar formatos de los registros de facturación: Se definen estructuras y formatos uniformes para los registros, facilitando su tratamiento y análisis por parte de la administración tributaria.

Aspectos destacados

  • Declaración responsable: Los desarrolladores de sistemas de facturación deben presentar una declaración responsable que acredite el cumplimiento de los requisitos establecidos.
  • Sistema VERI*FACTU: Se introduce la posibilidad de que los sistemas de facturación se adhieran voluntariamente al sistema VERI*FACTU, que permite la remisión de información en tiempo real a la AEAT.
  • Elementos adicionales en las facturas: Se establece la inclusión obligatoria de un código QR y, en su caso, una frase que indique que el sistema informático de facturación utilizado es VERI*FACTU.

Estructura

La orden se compone de 21 artículos distribuidos en ocho capítulos, dos disposiciones adicionales, una disposición final y un anexo que detalla la estructura y formato de los registros de facturación.

Entrada en vigor

La orden entró en vigor el 29 de octubre de 2024, al día siguiente de su publicación en el BOE.

Hashes encadenados

El artículo 13 de la Orden HAC/1177/2024, orienta en el uso de la «huella» o «hash» de los registros de facturación.

Para entenderlo mejor se puede echar un vistazo a este diagrama:

Para cada registro se calcula un HASH1 a partir de los datos del registro que no cambian (no se incluiría en el cálculo de hash el campo de referencia al registro de anulación, ya que muchos registros no se anularán). Además, en cada registro se calcula un HASH2 a partir del HASH1 del propio registro y el HASH2 del registro anterior.

Si está en el proceso de implementar técnicamente los requisitos de la Orden HAC/1177/2024, contacte con EADTrust porque le pueden ser útiles nuestros servicios de consultoría de Facturación Electrónica y las librerías de programación que podemos aportarle. Llame al 902 365 612 (equivalente al 91 716 0555) o envíe un email a info (at) eadtrust (dot) eu

Compartir lotería usando GoCertius y Telegram

Deja un comentario

Antecedentes

El año pasado publiqué el artículo «Como generar evidencias digitales con GoCertius cuando se comparte lotería» dando instrucciones sobre la manera de generar evidencias digitales por parte del depositario de un décimo de lotería que surte los efectos del «recibo » de participación de lotería usado durante muchos años.


La posibilidad de generar evidencias digitales de lotería con GoCertius ya era un gran avance porque permite dejar constancia de información crucial como el décimo concreto que se comparte, la persona que ejerce como depositaria, la identidad de los participantes y las reglas de reparto en caso de premio.

Nueva funcionalidad de GoCertius de certificación de canales especiales en Telegram

Pero ahora la App GoCertius se amplía para incluir la opción de gestionar «Chats Certificados» de Telegram y entre muchos usos potenciales, en esta época del año tiene sentido poner como ejemplo de sus usos el «Acuerdo Lotero GoCertius«.

En EADTrust, g-digital y Garrigues creemos que estamos dando un paso disruptivo en lo que se refiere a la gestión de evidencias digitales, al poder incorporar el testimonio reforzado con sellos de tiempo cualificados de acuerdo a la Regulación EIDAS de los diálogos de un canal de Telegram para los que participan en el.

Generación de un canal de chat certificado de Telegram desde GoCertius

Para el caso que proponemos, el «Acuerdo Lotero» el depositario del décimo (o décimos, si hay mas de uno) organiza un canal de chat de Telegram certificado desde GoCertius.

Para ello, en la App GoCertius hay que pulsar el botón de «Menú» (abajo), luego «Mis chats» y luego la opción «Crear chat» en la que se define el nombre del chat en la App GoCertius, el Título que tendrá el canal de Telegram y la descripción que aparecerá en «Información» en el canal de Telegram. Es recomendable que esta Información sea clara ya que será lo primero que se verá a entrar en el canal.

Hay que esperar un poco a que se cree el canal porque no es instantáneo y después, pulsando de nuevo «Mis chats» ya aparece el que se ha creado.

En esa pantalla se pincha en «Abrir en Telegram» y se entra en el nuevo canal, ya en la App de mensajería.

Inicialmente hay 3 participantes: EADtrust que es el «Propietario», Certy, que es el robot que recoge los mensajes y los convierte en constancias y el usuario que ha creado el chat desde GoCertius y que ya puede invitar al resto de participantes en el canal.

Inicialmente se explica el objetivo de la creación del canal para ayudar a formar el consentimiento de los participantes, preferentemente cuando están dados de alta en el canal todos los que recibirán participaciones de la lotería, luego se añade el texto contractual y la foto del décimo o décimos y se inicia una «encuesta» para recoger el consentimiento de los participantes, en forma de votación.

Para crear encuestas en Telegram hay que pinchar en el icono del clip que aparece abajo en la pantalla de App de mensajería y luego en el icono de Encuesta

La encuesta solicita la conformidad de los participantes y la expresión del consentimiento por lo que habrá que redactarla de forma acorde. La encuesta la reformula «Certy» para capturar la respuesta de cada participante y dejarla recogida en la constancia que se genera al final en forma de «Certificación».

Con esta funcionalidad de Chat Certificado cada mensaje, archivo o encuesta queda registrado con un sello de tiempo cualificado regulado en el Reglamento europeo EIDAS y su  certificación está disponible para todos los participantes.

¿Qué aporta la posibilidad de certificar la mensajería?

Las plataformas de mensajería son parte de nuestra experiencia digital cotidiana. La posibilidad de añadirles servicios de confianza digital regulados que dejen constancia de lo tratado (cuando interese) y que generen certificaciones que puedan presentarse como pruebas en contextos de resolución de controversias (Negociación,  Conciliación, Mediación, Arbitraje o la Vía Jurisdiccional) es una importante aportación a a seguridad jurídica preventiva digital.

El equipo de desarrollo

En este desarrollo, han trabajado mentes de EADTrust, IOBuilders, g-digital y Garrigues.

Texto sugerido del acuerdo lotero

El condicionado lo decide cada grupo, pero podría parecerse a esto:

ACUERDO DE COMPARTICIÓN DEL DÉCIMO DE LOTERÍA NÚMERO 00245 – SORTEO DE NAVIDAD 2024

FECHA: 12 de diciembre de 2024
PARTICIPANTES: Todos los miembros del grupo «Nombre del Grupo» que hayan expresado su conformidad a través de la herramienta de votación del canal en GoCertius Chat certificado.

Por tanto quien no vote en el chat de Telegram no será beneficiario de este acuerdo.

DÉCIMO:

•⁠ ⁠Número: XXXXX
•⁠ ⁠Sorteo: Sorteo Extraordinario de Navidad 2024
•⁠ ⁠Administración de lotería: la URL, si la sabemos
•⁠ ⁠Custodia física: Persona depositaria del décimo
•⁠ ⁠Custodia digital: Confirmada por la administración de lotería citada.


REPARTO DEL PREMIO:
En caso de resultar premiado el décimo número XXXXX en el Sorteo Extraordinario de Navidad 2024, el premio se repartirá de forma equitativa entre todos los participantes que hayan aprobado este acuerdo a través de la herramienta de votación en GoCertius Chatcertificado.


APROBACIÓN DEL ACUERDO Y EFECTOS EQUIVALENTES A LA FIRMA:

Este acuerdo entrará en vigor y surtirá plenos efectos una vez que cada participante lo haya aprobado de manera individual a través de la herramienta de votación (encuestas) habilitada en el Canal. La aprobación de este acuerdo mediante la votación en el chat certificado constituye una manifestación inequívoca de la voluntad de cada participante de adherirse al mismo y produce los mismos efectos legales que la firma manuscrita. Dicha votación implica la aceptación incondicional de las condiciones establecidas y la conformidad para participar en el reparto del premio en caso de resultar ganador.


CONSIDERACIONES ADICIONALES:
•⁠ ⁠Confirmación de la custodia: El depositario en calidad de custodio del décimo, se compromete a presentar una prueba fehaciente de la custodia física y/o digital del décimo a solicitud de cualquier participante.
•⁠ ⁠Transparencia: El depositario se compromete a informar a todos los participantes de cualquier novedad relevante relacionada con el décimo y a mantener un registro de todas las comunicaciones relacionadas con este acuerdo.
•⁠ ⁠Legislación aplicable: Este acuerdo se regirá por la legislación española vigente.


ACEPTACIÓN (MEDIANTE VOTACIÓN EN GoCertius Chatcertificado):
La participación en la votación con la opción de «APROBAR» implica la lectura, comprensión y aceptación total de este acuerdo.


OBSERVACIONES:
•⁠ ⁠Evidencia digital: La aprobación a través de la herramienta de votación de GoCertius Chatcertificado constituye una evidencia digital irrefutable de la aceptación de este acuerdo por parte de cada participante.
•⁠ ⁠Adaptación: Este acuerdo podrá ser modificado o complementado únicamente por consenso unánime de todos los participantes que lo hayan aprobado inicialmente, mediante una nueva votación certificada en el mismo chat de GoCertius Chatcertificado.
¡Mucha suerte a todos!
El depositario (indicar nombre y apellidos), CUSTODIO Y TITULAR DEL DÉCIMO XXXXX REPRODUCIDO A CONTINUACIÓN


Prueba GoCertius:

Te invitamos a descargar y probar GoCertius, una herramienta gratuita que te ofrece tranquilidad y seguridad en tu start up o para desarrollar tu idea de negocio innovadora. GoCertius es una aplicación provista por EAD Trust, proveedor cualificado de servicios de confianza digital, visítanos en https://www.eadtrust.eu/.

Referencias

Se mencionó la novedad desarrollada en GoCertius que otorga la posibilidad de certificar el contenido de ciertos canales de Telegram en una publicación de LinkedIn que resume este mismo tema del «Acuerdo Lotero»

Pack Facturación digital y digitalización certificada de EADTrust para desarrolladores

Deja un comentario

En EADTrust estamos recibiendo muchas consultas sobre como dar cumplimiento a la nueva normativa de facturación, ya sea publicada o anunciada, considerando la forma de gestionar correctamente las firmas electrónicas y los sellos electrónicos. Y los hashes y los formatos de factura,…

Estas nuevas normas impactan especialmente a las entidades que desarrollan soluciones de facturación y en ocasiones su incumplimiento conlleva duras sanciones.

Los próximos meses supondrán un reto para las entidades desarrolladoras de soluciones ERP y de contabilidad o facturación, que tendrán que incluir en la funcionalidad de su software (SIF, Sistemas Informáticos de Facturación los denomina la autoridad tributaria) diferentes prestaciones, algunas con fecha límite (29 de julo de 2025) y otras con fecha todavía indeterminada a la espera de que se publique normativa adicional).

Las prestaciones a incluir en el software de gestión (que afectará también a las entidades que usan ese software) son:

  • Digitalización Certificada
  • Contabilidad Diligente o Certificada (Ley antifraude)
  • Factura electrónica o digital (Ley Crea y Crece)

Digitalización Certificada

La digitalización certificada es un proceso que permite convertir facturas recibidas en papel en archivos digitales firmados electrónicamente, garantizando que la versión digital mantenga la misma validez legal que la fuente en papel. 

Su normativa está vigente desde 2007.

Para que un proceso de digitalización sea considerado «certificado», es necesario utilizar software homologados por la Agencia Estatal de Administración Tributaria (AEAT). Estos programas deben cumplir el artículo 7 de la Orden EHA/962/2007, y los desarrolladores que deseen incluir esta funcionalidad en sus aplicaciones deben seguir el proceso de homologación que se recoge en la Resolución de 24 de octubre de 2007. Es necesario presentar un informe de Auditoría y EADTrust es el principal especialista en auditoría de Digitalización Certificada.

La firma electrónica (o mejor, el sello electrónico) juega un papel crucial en el proceso de digitalización certificada. EADTrust, que además es un Prestador Cualificado de Servicios de confianza, puede proveer los certificados digitales para generar los sellos electrónicos.

También es muy importante el sistema de llevanza de la digitalización (recogiendo los datos señalado en el articulo 64 del Reglamento del IVA) que debe permitir garantizar la integridad e inalterabilidad de los registros que anotan cada factura en el proceso de digitalización. Aunque la norma prevé la firma de la base de datos, en la práctica se gestionan sistemas de hashes de los registros de facturación que se refuerzan con sellos de tiempo o sellos electrónicos en los períodos de cierre.

Varias de las técnicas utilizadas en la Digitalización Certificada son válidas para cumplir otros requisitos normativos, por lo que puede ser recomendable iniciar la adaptación al conjunto de nuevas normas implementando primero la Digitalización Certificada en el SIF, Sistema Informático de Facturación.

Contacte con EADTrust si necesita saber como implementar la Digitalización Certificada en su software y como realizar la auditoría para presentarla ante la Agencia Tributaria.

Y también para obtener los certificados digitales cualificados para generar los sellos electrónicos con los que se firman o sellan las versiones digitalizadas de las facturas en papel.

Contabilidad Diligente o Certificada (Ley Antifraude)

La Ley Antifraude, oficialmente conocida como Ley 11/2021, de 9 de julio, de medidas de prevención y lucha contra el fraude fiscal, ha introducido cambios significativos en la forma en que las empresas deben llevar su contabilidad. Esta ley busca combatir el fraude fiscal y la evasión de impuestos a través de una serie de medidas estrictas que afectan directamente a la contabilidad y la facturación de las empresas.

Impone los requisitos ICALTI (integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros) a los sistemas de facturación en lo que tiene que ver con la emisión de facturas.

Introduce el concepto del nuevo sistema «Veri*factu» de uso opcional que implica la remisión de todas las facturas y tickets a la Agencia Tributaria, aunque con la alternativa de implantar medidas de gestión de integridad en el propio software SIF.

De modo que la nueva normativa asociada a la Ley Antifraude se centra en detallar los requisitos técnicos que debe cumplir un software de facturación certificado.

Es importante señalar que las sanciones por incumplimiento de las normativas antifraude se han endurecido significativamente. Las empresas que no utilicen software certificado, realicen pagos en efectivo por encima del límite permitido, o no reporten adecuadamente sus transacciones se enfrentan a multas sustanciales.

En «BOE» núm. 260, de 28/10/2024 se publicó la Orden HAC/1177/2024, de 17 de octubre, por la que se desarrollan las especificaciones técnicas, funcionales y de contenido referidas en el Reglamento que establece los requisitos que deben adoptar los sistemas y programas informáticos o electrónicos que soporten los procesos de facturación de empresarios y profesionales, y la estandarización de formatos de los registros de facturación, aprobado por el Real Decreto 1007/2023, de 5 de diciembre; y en el Reglamento por el que se regulan las obligaciones de facturación, aprobado por Real Decreto 1619/2012, de 30 de noviembre. Se publicó una corrección de errores en el BOE núm. 270, de 8 de noviembre de 2024.

El Artículo 13 del  Real Decreto 1007/2023, de 5 de diciembre contempla que la entidad productora del sistema informático certifique mediante una declaración responsable, que el sistema informático cumple la normativa Antifraude. EADtrust ofrece un servicio de auditoría para certificar que la Declaración responsable está correctamente formulada. Este servicio se creó para dotar de seguridad jurídica a los desarrolladores de soluciones de facturación ante los alarmantes requisitos que introdujo la Ley Antifraude (Ley 11/2021).

La Ley antifraude introdujo el artículo 201bis en la Ley General Tributaria en la que se definían las sanciones por falta de certificación. Y un apartado en el artículo 29 (2.j):

j) La obligación, por parte de los productores, comercializadores y usuarios, de que los sistemas y programas informáticos o electrónicos que soporten los procesos contables, de facturación o de gestión de quienes desarrollen actividades económicas, garanticen la integridad, conservación, accesibilidad, legibilidad, trazabilidad e inalterabilidad de los registros, sin interpolaciones, omisiones o alteraciones de las que no quede la debida anotación en los sistemas mismos. Reglamentariamente se podrán establecer especificaciones técnicas que deban reunir dichos sistemas y programas, así como la obligación de que los mismos estén debidamente certificados y utilicen formatos estándar para su legibilidad.

En la Orden 1177/2024 que concreta las especificaciones técnicas de la Ley Antifraude y del Real Decreto 1007/2023 se imponen varias obligaciones en relación con el uso de certificados electrónicos:

  • En el artículo 4 (…) Gestionar certificados electrónicos. Los certificados electrónicos serán utilizados para autenticarse en la conexión con la Agencia Estatal de Administración Tributaria con la finalidad de remitir la información y, en su caso, generar la firma electrónica de los registros de facturación y de evento (…)
  • En el artículo 5: Para remitir los registros de facturación a la sede electrónica de la Agencia Estatal de Administración Tributaria, los sistemas informáticos deberán presentar ante esta la correspondiente identificación electrónica del remitente mediante el uso de los certificados electrónicos válidos en cada momento en la sede electrónica de la Agencia Estatal de Administración Tributaria.
  • En el artículo 6: (…) c) El sistema informático deberá firmar electrónicamente, de acuerdo con lo especificado en el artículo 14, todos los registros de facturación que genere.
    d) El sistema informático deberá ser capaz de comprobar si es correcta la firma electrónica de cualquier registro de facturación individual generado, permitiendo realizar esta comprobación, bajo demanda, de forma rápida, fácil e intuitiva. (…)
  • En el Artículo 14: La firma electrónica de los registros de facturación y de evento se basará en el estándar del Instituto Europeo de Normas de Telecomunicaciones ETSI EN 319 132 y utilizará el tipo de firma «XAdES Enveloped Signature» con los detalles técnicos que para su generación se recojan en la sede electrónica de la Agencia Estatal de Administración Tributaria.
    En todo caso, la firma electrónica deberá ser generada con una clave privada asociada a un certificado electrónico cualificado de firma electrónica en vigor. Dicho certificado debe haber sido emitido por un proveedor de servicios de confianza cualificado que cumpla con los requisitos establecidos en el Reglamento (UE) N.º 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, y esté incluido en la lista de proveedores de confianza de la UE (EU/EEA Trusted List).
    La firma electrónica generada deberá almacenarse en el registro de facturación o de evento al que corresponde, de acuerdo con lo especificado en los artículos 9.4.c), 10.c) y 11.c).

En la disposición final cuarta del RG 1007/2023 se indica que

Los obligados tributarios a que se refiere el artículo 3.2 de dicho Reglamento, en relación con sus actividades de producción y comercialización de los sistemas informáticos, deberán ofrecer sus productos adaptados totalmente al reglamento en el plazo máximo de nueve meses desde la entrada en vigor de la orden ministerial a que se refiere la disposición final tercera de este real decreto.

Como la Orden HAC/1177/2024 se publicó en el BOE 28 de octubre de 2024, los requisitos de la Orden se deben cumplir antes del 29 de julio de 2025.

Dado que EADTrust es un Prestador Cualificado de Servicios de confianza, puede proveer los certificados digitales para generar los sellos electrónicos.

También proporciona servicios de URL para los códigos QR de los servicios de facturación «NO VERI*FACTU» (artículo 21).

EADTrust también provee de un servicio de custodia externo de registros de facturación de exportación, tal como exige el artículo 8. Se recomienda que la custodia sea por 6 años considerando el artículo 30 del Código de Comercio.

Los especialistas de EADTrust pueden actuar de consultores para resolver cualquier duda de implementación de esta normativa.

Factura Electrónica o Digital (Ley Crea y Crece)

La Ley Crea y Crece, aprobada en septiembre de 2022, establece una regulación para hacer obligatoria la factura electrónica en el ámbito privado.

Según el artículo 12 de la Ley Crea y Crece, «todas las empresas y autónomos deberán expedir y remitir facturas electrónicas en sus relaciones comerciales con otras empresas y autónomos».

La entrada en vigor del artículo 12, relativo a la facturación electrónica entre empresarios y profesionales producirá efectos, para los empresarios y profesionales cuya facturación anual sea superior a ocho millones de euros, al año de aprobarse el desarrollo reglamentario. Para el resto de los empresarios y profesionales, este artículo producirá efectos a los dos años de aprobarse el desarrollo reglamentario. La entrada en vigor del artículo 12 está supeditada a la obtención de la excepción comunitaria a los artículos 218 y 232 de la Directiva 2006/112/CE del Consejo, de 28 de noviembre de 2006, relativa al sistema común del impuesto sobre el valor añadido.

Aunque España ya ha solicitado la excepción comunitaria, todavía no se ha publicado la concesión. Solamente se ha publicado una excepción similar para Alemania, Rumanía, Polonia, Francia e Italia.

No obstante, para la preparación de ese momento en que entre en vigor la obligatoriedad de la factura electrónica, hay que conocer los formatos de facturación, las posibilidades de generar facturas estructuradas o no estructuradas, la forma de añadir los sellos electrónicos XAdES o PAdES , la forma de comprobarlos y la forma de extraer información de las facturas recibidas.

Contacte con EADTrust si necesita saber como implementar la Factura Electrónica o Digital en su software de contabilidad o gestión empresarial y cómo realizar la gestión de los sellos y firmas electrónicos.

Y también para obtener los certificados digitales cualificados con los que generar los sellos electrónicos que se deben aplicar a las facturas.

IdentiSIC 2024: Identidad digital. Cebo y salvoconducto

Deja un comentario

El próximo 20 de noviembre de 2024, a partir de las 8:45 tendrá lugar el evento organizado por la Revista SIC IdentiSIC 2024 con el lema Identidad digital. Cebo y salvoconducto, al que me han invitado como ponente.

El evento IdentiSIC 2024 es gratuito y tendrá lugar en

Hotel Novotel Campo de las Naciones
Calle Amsterdam, 3
28042 Madrid

En el formulario de Inscripción hay que indicar si la participación se realizará de forma presencial o de forma remota por streaming.

Dada la limitación de aforo, tras cumplimentar el formulario hay que esperar a que la organización comunique si se ha podido confirmar la inscripción.

En el Programa se detallan los intervinientes:

08:45 – Acreditación y entrega de documentación.
9:00 – Identidad digital europea. El camino empieza a despejarse. Julián Inza – Presidente de EADTrust (Grupo Garrigues).
9:30 – La autenticación de usuario como atributo en la Cartera de Identidad Digital de la UE. Paloma Llaneza – CEO de Razona Legaltech.
10:00 – Evolucionando el role mining para robustecer los cimientos IAM – Julio Castilla
Director en Business Security Solutions – Identity and Data Governance de PwC.
11:00 – CISCO. Jorge Hormigos – Security Solutions Engineer.
11:30 – OKTA. Felipe San Román. Presales Engineer.
12:00 – OMADA. Jorge Sendra. Country Manager.
12:30 – Open Text. Jacinto Grijalba. Cybersecurity Sales Manager Spain and Portugal.
13:00 – SIA, an Indra company. Raúl Olivar. Digital Identity & Signature Manager.
13:30 – Coloquio.
14:00 – Almuerzo presencial