Archivo de la categoría: TS 101 733

Appliance de firma electrónica

Deja un comentario

Ya está disponible en formato appliance (y prácticamente con Configuración Cero) el aclamado sistema de firma electrónica BackTrust que permite a los organismos públicos cumplir con la Ley 11/2007 y a las entidades privadas poner en marcha el sistema de interlocución telemática al que les obliga la Ley 56/2007.

Hoy presentamos la variante xBackTrust, construida en torno a un equipo base de IBM x3650 y reforzado criptográficamente con placas IBM 4764 o Safenet Luna PCI.

El xBackTrust Appliance de Firma Electrónica gestiona firmas completas XAdES-XL y firmas PDF. Las genera, comprueba, prepara para el almacenamiento a largo plazo. Maneja TSA facilitando el uso de timestamping a través de protocolo OASIS DSS. Comprueba la validez de los certificados de cualquier prestador español o europeo. Es compatible con @firma y EADTrust.

Public Consultation on Electronic identification, authentication and signatures

Deja un comentario

As always, the last day comes quickly without enough time to prepare a sound document.

But tomorrow is the last day for this consultation and I though that my opinion could help to others.

Public Consultation on Electronic identification, authentication and signatures

1. Respondent information
Are you replying: On behalf of an organisation
Please provide the name of your Organisation
EAD Trust, European Agency of Digital Trust
Please provide if applicable, your interest Representative Register ID number
Please indicate which type of stakeholder you are Small or medium-size enterprise
Please provide your Name and Surname
Julian Inza
Please provide your email address
julian@eadtrust.com
Your country of residence Spain

2. General expectations regarding EU legislation on e-signatures, e-identification and e-authentication

Question 1: Do you / Does your organisation use e-signatures, e-identification and e-authentication?

 yes
If yes, what are your specific needs? Secure transactions
Unambiguous identification of contract partners
Integrity of electronic documents
Legal effect
Legal effect, contract signatures in particular
User convenience
Others
Please comment why
Electronic invoice, electronic documents of all kinds, electronic evidence

If yes, how frequently do you carry out secure transactions?

 Daily

Question 2: For what online transactions do you consider electronic identification, authentication and signatures useful in coming years?

 eGovernment services
Electronic Public Procurement
eCommerce transactions
eBusiness transactions
Online banking and financial transactions
Issuance of authentic electronic documents
Secure archiving or storage of authentic electronic documents
Others
Please comment why
electronic invoices, secure identification in social networks, electronic banking, web services, automated electronic seals,…

Question 3: What socio-economic benefits or drawbacks do you expect from the use of electronic signatures, identification, and authentication in other sectors of activity than yours?
A huge improvement in efficience and costs reductions. More security, more convenience, tele-operations of all kinds
Question 4: Would a stronger involvement of financial institutions in the provision of trusted e-signature and e-identification services have an impact on the take-up of e-signature and e-identification in other sectors? yes

If yes, what would be the appropriate incentives?
A simpler way to manage revocation information of certificates and to define trusted root certs and chain of trust&nbsp
Question 5: Do you think that there are specific interoperability or security aspects that should be taken into account to foster the use of electronic signatures, identification and authentication through mobile devices (e.g. requirements on the SIM cards, on the handset, on the mobile operator)? yes
If yes, regarding: operational
technical

Question 6: For which of the following trust building services and credentials should legal or regulatory measures be considered at EU-level in order to ensure their cross-border use and why?

 Electronic seals
Time stamping
Long term archiving
Certified delivery of mail
Pseudonyms
Certified electronic documents in general
Others (please list)
Please list
Long term accesible digital custody /electronic chartulary /electronic headoffice /secure verification code / certification validation services

3. e-signatures tailored to face the challenges of the digital single market

Question 7: How do you judge the take-up of electronic signatures in Europe?

 Very high
Please comment why
Citizen ID cards are being adopted in advanced countries, which include 2 or more certificates. Virtuous circle fosters the creation of adapted services
Question 8: Which of the following issues have a negative impact on the uptake of e-signature? You may select up to three answers that have according to you the most important impact. Lack of user-friendly signature solutions
Others
Please comment why
Poor solution for trust discovery of roots CA, bad implementations of OCSP in AIA extension of certificates, insufficient use of timestamping / not enough use of complete (AdES_XL) signatures, legacy management of CRLS to OCSP responses (bound to grace period), excesive use of CRLs for validation

Question 9: Which of the following specific issues have an impact on cross-border interoperability of e-signatures in Europe and should be addressed in a revised legal framework on e-signature (the references point to the articles and annexes of the eSignatures Directive)?

 Unclear terminology in Directive 1999/93/EC and heterogeneous terminology in national legislations
Heterogeneous approach to security requirements (e.g. certification requirements on the signing software in some countries)
Insufficient harmonisation of profiles of qualified certificates
Other
Please comment why
Lack of clear definition of electronic seal for legal persons, lack of clear definition of codes to inform about power of attorney in certificate extensions, unclear effect of qualified certificates without secre signature creation devices, lack of clear definition of automated signature&nbsp

Question 10: Which among the following options could be solutions for signature verification and validation at EU level?

 Other
Please comment why
Common list of OCSP services and timestamping services for all Trusted CAs in Europe. Signature software that creates always AdES-XL signatures including Timestamping and OCSP validation, getting the OCSP address from the AIA field of the certificate. OCSP services with grace period=0, supplied by the CA issuing certificates or a entity in its behalf, forbid the use of CRL for validation purposes. Relying party software that verifies XL signatures, Digital custody for secure storage of signatures,
Question 11: Do you have specific expectations from e-signature standardisation to cover? Mass signature (server signing)
Mobile signature creation devices
Remote signature
Others
Question 12: Do you use «qualified» e-signatures? yes
If yes, how often per month and for which kind and value of transactions?
3/4 per month. Transactions not connected to value. I believe transaction amount limits are relevant only to a few kinds of signatures.

Question 13: What is your view on the need to revise the security provisions of «qualified» e-signatures?

 The current provisions should stay as they are

Question 14: Would a classification of a range of e-signatures be desirable to match different levels of security?

 Yes, a classification would be convenient, it should be defined by law and a legal effect should be associated to each or some classes.
Please comment and explain for which usage a classification would be desirable.
legal person seal, automated signature, powers of attorney with use limits, SSL certificate with legal effects, sinonimous certificates and their effects, qualified certificates without SSCD. person associated to a company or government body acting in assigned role but not needing a representation letter or power
Question 15: Should «electronic consent» be recognised formally by future European legislation? yes

If yes, should legislation (where necessary supported by operational and technical standards) define specific requirements on:

 Others
Please explain why
It is already recognized in standards and is named «content commitment». When a certificate has that bit activated, should verify a proof of consent, including a turing test demonstrating the user has read the message and asking clearly for consent. This kind of use should generate evidences for all involved parties and, where possible, an accesible digital custody (chartulary+electronic headoffice+secure verification code) receipt for them)
Question 16: Should «electronic consent» be considered as equivalent to electronic signatures? yes

Question 17: Are there specific aspects that should be taken into account to address electronic archiving?

 yes
If yes, please specify the legal provisions which are needed in your opinion to address electronic archiving needs?
All electronic documents (signed or not) with legal effect, should be available under security considerations applied to archive (WORM), through a URL of trusted sites (electronc headoffice), with the help of a secure verification code. With additional measures for preserving privacy in specific cases, or to allow to be accessible to third parties for proof or evidential reasons. Paper documents or receipts withs URL and SVC, that can be verified against the electronis versions are considered trustworthy equivalent to authentic documents

4. Principles to guide e-identification and e-authentication in europe
Question 18: Do you see a need for additional legal or regulatory measures on electronic identification at EU-level? yes

If yes, in your opinion, what are the general principles that should underlie the legal provisions on the mutual recognition and acceptance of e-identification at EU-level?

 Others
Please comment
compatibility&nbsp
Question 19: What effects for the digital single market do you expect from legal provisions on an EU-wide mutual recognition and acceptance of eID issued in the Member States? Legal certainty
Reduction of administrative burden
Other
Please comment why
Simplicity for citizen to exercise their rights in all countries, Convenience for citizens, efficience for government bodies and enterprises

Question 20: How could users provided with electronic identification and authentication means benefit from their mutual recognition and acceptance across Europe and in which sectors?

 Increase of user convenience
Simplification of access to online services
Reduction of numerous UID/passwords
Reduced exposure to ID theft
Others
Please comment why
Use in day by day in non online services, to dematerialice paper

Question 21: What are the specific aspects that should be taken into account to achieve cross-sector interoperability of electronic identities?

 Others
Please comment why
Common list of trusted CAs and their roots, Common profiles, common OIDs definitions, Correct codification of OCSP servers in AIA fields

Question 22: Please indicate experiences and lessons learned in the private sector that could be transferred to the public sector.
Please make everything EASY for the final user. And define a consistent user experience for all ID cards. Users then can detect if someone try to cheat them (identifying unusual use patterns)

5. Legislative measures for the challenges ahead

Question 23: What European Union legislative measures on e-signatures, e-authentication of natural and legal person claims as well as e-identification would be appropriate in your opinion to best meet the challenges of the digital single market?

 Other
Please comment why
Reglament better than Directive. Clear rules. Clear language, Legal framework ligned with standards (standards are now better than law, but can not be used in the best way because law does not cover some technical uses)

6. Research and Innovation

Question 24: On what issues should EU R&D and standardisation focus to have all the necessary technology to improve eID management?
Nothing. A lot of money has been spent in past years without real improvement. We have standards. We should use them and in some cases improve them, with normal budget.

Question 25: On which technologies should Research & Development focus to improve the usability of e-signatures and electronic identification for end users and to facilitate the deployment for service providers?
Timestamping services, OCSP services, custodian services, registered notice services, mobile service, intelligent NFC services, interoperability services

Question 26: What technologies could contribute to overcoming the lack of trust in electronic identification, authentication and signatures in the European Single Market (ex. addressing the so-called «what you see is what you sign» issue)?
TSL, XAdES-XL, PAdES-LTV, writen signature digitalization with security measures binding the signature to the document in a way equivalent to «advance signature» with use of trusted third parties

7. Others

Question 27: Europe is fully part of the global economy. However, the forthcoming legal framework cannot cover non EU countries. Are there nevertheless international issues that should be taken into account?
The development of the legal framework must take into account existing standards or be compatible with future global standards. For instance RFC 3739

Question 28: Would you wish to share some best practices examples outside Europe?
Maybe connection of strong authentication with ID cards to federated identity systems (such as SAML) or simple authentication systems such as Open-ID can facilitate the use of Strong identity in social networks

Question 29: Are there any other issues which you think should be addressed by policy makers?
Yes. The use of ID systems and electronic signatures should be a strategic movement covering all kind of documents and sectors. In the past different lobbies or groups of interest have tried to convince EU policy makers to take out electronic signatures from electronic invoices to cite just one area. Electronic signatures should be used consistently in all areas or, at the end, exceptions will be greater that the rule and electronic signature can become useles or even worst, dangerous.
Meta Informations
Creation date
15-04-2011
Last update date
User name
null
Case Number
089674306510210511
Invitation Ref.
Status
N
Language
en

Firma electrónica en arquitectura SOA

2 respuestas

El próximo 5 de Mayo de 2011 se celebra en Madrid, en el Hotel Nuevo Madrid y organizado por Atenea Interactiva un nuevo seminario sobre Firma electrónica en arquitectura SOA, destinado a las entidades públicas y privadas. Las primeras obligadas por la ley 11/2007, y las segundas, por la ley 56/2007, y todas aprovechando las oportunidad que brinda la ley 59/2003. Por tan solo 350 euros +IVA.

Para garantizar la confidencialidad y la integridad de las transacciones, así como la identificación inequívoca de su autor  es necesario recurrir a soluciones basadas en Técnicas Criptográficas, Certificación Digital y Firma Electrónica. En soluciones que redunden en la confianza de las transacciones para todos los participantes. En el marco de  Ley de Firma Electrónica publicada en 2003 se han establecido hasta la fecha las bases para conseguir extender el uso y desarrollo de estas tecnologías en la Sociedad de la Información.

Ocho años después, la evolución de las  TICs  hacia entornos basados en el Cloud Computing y la movilidad, están cambiando los paradigmas preestablecidos respecto a la  Firma Electrónica y a  la Identidad Digital, creando a su vez un abanico de servicios relacionados hasta ahora prácticamente desconocidos.

Conceptos como la  Firma Remota, la Gestión centralizada de claves, la Firma electrónica en Movilidad, la Firma Digitalizada, la Custodia de documentos  a largo plazo y los nuevos escenarios creados por el desarrollo de la  Administración Electrónica y sus normas de aplicación, especialmente en lo relativo a la adecuación de los  Esquemas Nacionales de Interoperabilidad y Seguridad, están haciendo evolucionar los recursos de  PKI de un contexto  basado en aplicaciones distribuidas hacia un elemento crítico de infraestructura y el consumo de servicios de  Firma Electrónica.

Este es el programa:

1.- Service-oriented architecture

  • Iniciación a SOA
  • Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

  • Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
  • Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA

3. Conceptos de Firma Electrónica y PKI

  • Propiedad de la Firma Electrónica
  • Conceptos Criptográficos
  • Los Certificados Electrónicos. Tipos
  • El proceso de Firma Electrónica
  • Legislación

4. La Firma Electrónica como elemento de Arquitectura

  • La Firma Electrónica como servicio
  • Servidores de Firma y Validación
  • Repositorios de claves centralizadas
  • Despliegue de PKIs internas
  • Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

  • Firmas remotas y “upgrade” de firmas
  • Servicios de Validación de firmas y certificados centralizados. CRL, CSP, SCVP
  • Servicios de Sellado de Tiempo
  • Firma en entornos móviles. Posibles enfoques
  • Firma manuscrita digitalizada y servicios PKI avanzados.

6. Formatos y estándares de firma

  • Tipos de Firma “legales”
  • Formatos básicos
  • Formatos AdES. XAdES, CAdES y PAdES (TS 101 733, TS 101 903, TS 102 778)
  • Estándar Oasis DSS (Digital Signature Services). Descripción y perfiles
  • Firmas longevas, la importancia de la firma en la conservación de documentos
  • La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones
Públicas

  • La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
  • Procesos de firma automatizados. Sello de órgano y CSV
  • Servicios de Firma y Validación disponibles para Administraciones Públicas
  • Identidad Digital y Administración Pública
  • Políticas de firma en las AAPP. Descripción y Diseño
  • Interoperabilidad. TSL (Ttrust Services Status List) TS 102 231. Proyecto Stork

Duda sobre firmas AdES-XL

4 respuestas

Mi amigo Daniel me hace llegar una duda sobre firmas AdES, pidiendo la opinión de los expertos.

Se tiene una firma XADES-XLong, que contiene la CRL correspondiente. Esta CRL no está sellada (es decir, no es una XLong-Type1 ni Type2). Si se verifica la CRL antes de que la CA publique una nueva CRL, el documento XADES-XLong es válido. Pero si se verifica una vez que la CA ha publicado una nueva CRL, entonces no, y yo no estoy de acuerdo con este último aspecto, ya que se está asumiendo que el documento firmado caduca en la fecha indicada por el nextUpdate de la CRL.

Para evitar mezclar el período de gracia, podemos asumir que la XADES se realizó el 1 de enero, se convirtió en XADES-T el 15 de enero, y se convirtió en XADES-XLong el 30 de enero. Y que la verificación se está intentando hacer hoy, 4 de marzo.

¿Creis que es correcto?

Daniel cree que el documento XLong seguirá siendo válido hasta que caduque uno de estos tres certificados

  • El certificado del usuario firmante
  • El certificado del sello de tiempo de la XADES-T
  • El certificado de la CA que ha firmado la CRL

Pero no que dejará de ser válido en la fecha nextUpdate de la CRL

Esta es mi opinión:

El documento firmado con XAdES-T indica que el certificado se usó para firmar con anterioridad a la fecha indicada en el Sello de tiempo.

Cada CRL lleva su fecha. Las CRL son documentos con validez derivada de política, no necesitan tener firmas avanzadas. La especificación es la RFC 3280, no están en formato XML.

Luego, si una CRL posterior al sello de tiempo indica que el certificado no está revocado, la firma completa es válida. Incluso si se indica que el certificado está revocado, si la fecha de revocación (incluida en la CRL) es posterior, la firma es válida. A todo esto, hay que considerar «el período de gracia» transcurrido entre la fecha del timestamping y la de la primera CRL «válida».

Y el Documento X-Long es válido para siempre si se custodia debidamente (que es la opción que yo prefiero) o si se refirma en XAdES-A cada 5 años.

El sello de tiempo es un documento con validez derivada de política y no caduca. La CA aunque caduque no afecta a las firmas hechas con certificados que eran válidos en el momento de la firma.

Animo a los lectores a dar su opinión.

Mainframe supported electronic signature: zBackTrust

Deja un comentario

Albalia is an IBM partner in the System z environment (now zEnterprise) that has developed the only SOA electronic signature solution for Mainframes running z/OS or zLinux

This solution complies with standards such as OASIS DSS or ETSI TS 101 903.

Find more in this zBackTrust brochure, and in  this IBM page.

Contact your IBM dealer worldwide or though  INSA exclusive channel: www.insags.com— +34 901 116 376— soluciones@insags.com

Período de gracia en las firmas XAdES-XL

5 respuestas

Debido al estado de desarrollo de los PSC cuando se redactaron algunas normas de firma electrónica, se tuvo en consideración el llamado «periodo de gracia para comprobación del estado de revocación de un certificado».

En alguna de aquellas normas  se recomendaba tener en cuenta la existencia de un periodo de tiempo de espera, conocido como periodo de precaución o periodo de gracia, para comprobar el estado de revocación de un certificado. Por ello, toda la información de revocación en formatos AdES se recomendaba incluirla después de trascurrido el periodo de precaución o periodo de gracia desde la obtención del sellado de tiempo. Este periodo como mínimo debía ser el tiempo máximo permitido para el refresco completo de las CRLs o el tiempo máximo de actualización del estado del certificado en el servicio OCSP. Estos tiempos podrán ser variables según la Declaración de Prácticas de Certificación del Prestador de Servicios de Certificación.

En la actualidad, está precaución no tiene sentido, especialmente cuando las firmas XAdES-XL se generan del lado del firmante y es este el que inlcuye los datos de timestamping y de validación basada en OCSP (y por tanto conoce si su certificado está revocado o no).

Efectivamente, en la actualidad, la información sobre revocación de certificados que ofrecen los prestadores de servicios de certificación sobre OCSP incluyen de forma inmediata cualquier información de revocación que se produzca, en tiempo real.

Sólo hay que tomar precauciones cuando se utilice como mecanismo de comprobación de la revocación el acceso a las listas CRL (un mecanismo obsoleto que solo se usa en algunos contextos) o cuando se utilice un servicio de validación que, aun siendo soportado por el protocolo OCSP, se basa en la consulta de CRLs para su funcionamiento.

En España, los únicos certificados que podrían requerir el mantenimiento del período de gracia son los de FNMT-RCM, ya que en muchos casos siguen distribuyendo CRLs. Igualmente, cuando se utilice @firma como plataforma de validación, conviene cerciorarse que el servicio no esté basado en consulta de CRLs.

zBackTrust en Caixa Galicia

3 respuestas

Ayer mencioné a Caixa Galicia en relación con sus 40 años de actividades en torno a System z. Y después, repasando algunos temas de nuestra colaboración he caído en la cuenta de que existe información muy interesante en Internet que me gustaría compartir con los lectores del blog.

Por un lado, este artículo internacional sobre el uso del System z en Caixa Galicia:
Lean, Efficient IBM System z™ Mainframe Platform Powered Caixa Galicia’s Dramatic Growth, National Success – Delivers Bank Transaction Costs 30% Below Spain’s Average!

Si vais hasta la página 12 y os leéis el apartado Future Trends in Electronic Document

Management, veréis la importancia que la caja da a nuestra solución zBackTrust de firma electrónica en Host.

Por otro lado, la intervención del propio Ricardo Carballo  en un reciente evento organizado por IBM: Soluciones para Cajas de Ahorro. Hacia una banca más inteligente.

El evento tuvo lugar el pasado 18 y 19 de mayo de 2010 en IBM Forum de Barcelona. Esta fue la Agenda:

Agenda
Agenda: Martes 18 de Mayo
14:00 – 17:00 Llegada al hotel
17:30 Encuentro en la recepción del hotel para traslado** al Centro Nacional de Supercomputación
18:00 Visita al Superordenador Marenostrum del Centro Nacional de Supercomputación
Bienvenida por D. Frances Subirada – Director Asociado del Centro Nacional de Supecomputación.
19:30 Fin de la visita y regreso al hotel
21:00 Encuentro en la recepción del hotel para traslado al restaurante
21:15 Cena

Agenda: Miercoles 19 de Mayo
09:45 Bienvenida e introducción
D. Alfred Escala, Vicepresidente Sector Servicios Financieros, IBM
10:00 Experiencias de éxito:
+ Caixa Galicia: zBackTrust, solución de firma electrónica en System z. D. Ricardo Carballo – Director del Centro de Operaciones de Caixa Galicia
+ BBK, Kutxa, Caja Vital: Solución Integral de Medios de Pago y Control de Fraude D. Jesús Jusué, Director Gerente Serinor
+ Caja de Burgos: Entorno Informacional con Cognos e Infosphere D.Angel Serrano, Responsable del Centro de Información de Caja de Burgos
11:30 Café
12:00 Framework del documento electrónico
D. Víctor Usobiaga – Equipo de desarrollo de negocio de entidades financieras (IBDT), IBM.
12:30 Demostraciones de soluciones para banca:
1) Gestión multicanal de la relación con el cliente
2) Análisis y utilización de la información de cliente
D. Antonio Plana – Director del Centro Internacional de IBM de Soluciones para Banca
13:30 Conclusiones y cierre
13:45 Cóctel

Ciertamente, la colaboración de Albalia Interactiva con Caixa Galicia ha sido y es muy fructífera. Lo que ha permitido que desarrolláramos juntos algunas iniciativas de impulso al DNI electrónico. En breve comentaré otra iniciativa en la explicaré como vamos a seguir impulsando el DNIe.

Otros artículos relacionados:

V Congreso de Factura Electrónica y Digitalización Certificada de ASIMELEC

5 respuestas

Aunque con algo de retraso y tras la publicación de otros resúmenes, como el de Bartolomé Borrego, que uso como referencia, incluyo seguidamente mi resumen del evento que el 29 de Abril del 2010 tuvo lugar en el Auditorio de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, del Ministerio de Industria, Turismo y Comercio.

El  V Congreso de Facturación Electrónica y Digitalización Certificada convocado por ASIMELEC se celebró a continuación de la reunión de alto nivel de factura electrónica, organizado por la Comisión Europea, con apoyo del MITyC los dias 27 y 28 de abril de 2010. Estos actos se inscriben en el marco de la presidencia española de la Union Europea en el primer semestre de 2010.

La apertura institucional del Congreso corrió a cargo de D. Martín Pérez Sánchez, Presidente de ASIMELEC que resumió los logros de los últimos años en el impulso de la factura electrónica gracias a la participación del sector privado con el apoyo de la Agencia Tributaria y el Ministerio de Industria, Turismo y Comercio, con elevadas inversiones que se pueden perder si el Ministerio de Economía y Hacienda sigue incumpliendo los plazos indicados en la Ley 30/2007 y en la Ley 56/2007, en relación con la publicación de la normativa pendiente que completa la necesaria para facturar a las administraciones públicas, por lo que reclamó la máxima diligencia del citado Ministerio para resolver la situación. Agradeció al MITYC y al Ministerio de Presidencia el apoyo en las iniciativas de impulso de la Factura electrónica e introdujo a D. Fernando de Pablo, Director General para la Administración Electrónica del Ministerio de la  Presidencia, que anunció el compromiso de su departamento de constituir un “hub” -plataforma unificada- que aglutine en uno solo todos los sistemas que conviven en los distintos ministerios, lo que conllevará a un ahorro de costes importante. Fernando comentó la publicación en el CTT (Centro de Transferencia de Tecnología) de los documentos del grupo de trabajo de factura electrónica de las administraciones públicas.

La primera ponencia del programa regular fue la de D. Gonzalo Die Socias, Director de Planificación y Relaciones Externas de  Red.es, quien habló del Impulso para la Adopción de la Factura electrónica por parte de la Administración, centrándose en los ejes del plan de promoción de la eFactura que está dotado con un presupuesto de 475.000 € y que abarca tres frentes:

  1. Un primer eje del tipo B2C, que persigue penetrar la utilización de la efactura en un 6%, y que va fundamentalmente destinado a la emisión de facturas.
  2. Un segundo eje consistente en el fomento del uso entre empresas y entidades locales, focalizado en el entorno B2B, y
  3. Un tercer eje dedicado a la creación de contenidos, en concreto, la creación de un Portal con contenidos que aporten empresas especializadas y entidades.

En su ponencia se anunció una nueva edición (la 3ª) del ya tradicional libro sobre “La Factura Electrónica”, editado por ASIMELEC y Red.es  del que en breve se anunciará su descarga libre por  Internet.

Yo presenté InvoiceX, un proyecto en el que participan nueve entidades: Albalia Interactiva, Asimelec, Atos Origin, Camerfirma, Desarrollo y Recursos, Eurobits, Invinet, Pimec y Seres y que está abierto a todas las plataformas de Facturación electrónica que operan en España. El proyecto esta apoyado por el Ministerio de Industria, Turismo y Comercio en el Plan Avanza2 con el código TSI-020512-2009-69. Se han incorporado al proyecto instituciones y entidades tales como Adquira, AECOC, Agencia del Conocimiento y la Tecnología de la Rioja, AOC, BBVA, Caixa Galicia, Docontime, Edicom, EJIE, GVA, Indra, Mityc y Telefónica.

D. Víctor Usobiaga, responsable Financial Service Sector en IBM SPGI INDUSTRY BUSINESS DEVELOPMENT TEAM IBDT y D. Carlos Jerez, Director General de Notarnet, hablaron sobre las tres columnas en las que se sustentan los documentos electrónicos: gestión del documento, firma electrónica y custodia digital. Ejemplificaron el modelo con el caso de la digitalización certificada y finalizaron con una demostración práctica de cómo se digitaliza un documento con la solución DigiFactIn. También explicaron el potencial de la firma digitalizada si se emplea con las adecuadas medidas de seguridad.

Tras el Coffee-Break, tuvo lugar una Mesa Redonda bajo el título “Challenges in the development of Electronic Invoicing in Europe”, en la que intervinieron D. Christiaan van der Valk, Chief Executive Officer de TrustWeaver, Mr. Bruno Koch, Chairman of the EXPP Summit, CEO en Billentis, Mr. Tony Nisbett, IBM eInvoicing SME – consultant to world-wide customer and supplier boarding teams de IBM, Mr. Olaf Schrader, Senior Production Manager for Supplier Enablement de Ariba Inc y D. Arturo González Mc Dowell, Director General de Eurobits.

En la mesa redonda se analizaron aspectos como la necesidad de reglas de juego homogéneas y estables en toda Europa, para no desanimar a los innovadores, se reivindicó el uso de la firma electrónica como el modelo más efectivo de garantizar la autenticidad e integridad de las facturas electrónicas. Se barajaron algunas cifras, como que en Europa existen más de 140 plataformas de factura electrónica, que el  precio de emitir una factura en Finlandia (sin firma electrónica) es 5 veces más caro que en España (con firma electrónica) o que se han recopilado más de 240 preguntas prácticas a las diferentes administraciones tributarias de toda la unión europea sobre aspectos de gestión de facturas electrónicas, de las que solo 3 se refieren a la firma electrónica. Desde el punto de vista de Ariba, operador de factura electrónica multinacional, no importa cual pueda ser la complejidad de los requisitos, con tal de que sean los mismos en toda Europa, lo cual no parece que pueda lograse con la modificación propuesta de la Directiva 2006/112.

Tras la mesa redonda, D. Arturo González Mac Dowell, tuvo una presentación independiente  sobre Iniciativas de Interoperabilidad, haciendo una analogía entre los sistemas de factura electrónica y los de  telefonía móvil.

Alabó la iniciativa de la AGE, al definir la arquitectura de la factura a efectos de normalización de la factura electrónica.

Por su parte, D. Ricardo Carballo Gestal, Director del Area de Excelencia Operacional de  Caixa Galicia, flanqueado por Alvaro González (Product manager de zBackTrust en Albalia), habló del entorno Mainframe de la Caja de Ahorros gallega, y de las razones que llevaron a la institución a seleccionar la aplicación zBackTrust de firma electrónica que se utiliza en entornos z/OS y zLinux. La estrategia de costes de IBM en entornos zLinux, la disponibilidad de hardware criptográfico IBM 4764 y 4765 ya instalado en los equipos y utilizados, por ejemplo, en el marco de la adaptación a SEPA y a EMV y la infraestructura de alta disponibilidad que permite alta escalabilidad, alta disponibilidad  y recuperaciones sin latencia en los centros de sistemas de la caja separados 2 kilómetros. Además la seguridad de los sistemas ha merecido la certificación Common Criteria EAL5, una de las más altas disponibles. El entorno resultante, uno de los más potentes destinados a la firma electrónica se está utilizando en el sistema de factura electrónica de la caja, pero también como sistema de validación para los cajeros electrónicos de la entidad que aceptan el DNI electrónico, de forma que no necesitan acceder a internet para conocer el estado de revocación de los certificados del DNI. Caixa Galicia ya impone a todos su proveedores tecnológicos la facturación electrónica en formato facturae, de modo que no es posible ser proveedor de las áreas tecnológicas de la Caja si no se factura electrónicamente.

D. Santiago Segarra Tormo, Jefe de la Dependencia de Asistencia y Servicios Tributarios de la Delegación Central de Grandes Contribuyentes de la Agencia Estatal Tributaria, nos habló del resultado del proceso de reforma de la Directiva 112/2006 en la Comisión Europea.

La nueva Directiva sobre Facturación electrónica recogerá diferentes medios para demostrar  la autenticidad e integridad de una factura electrónica:

  • Por una parte, sigue contemplando la posibilidad de utilizar la firma electrónica y EDI como sistemas válidos de facturación, opciones que ya se contemplaban en la anterior Directiva.
  • Por otra, introduce como novedad la posibilidad de utilizar otros sistemas tecnológicos distintos de los anteriores, como podrían ser: otros tipos de firma electrónica, de EDI, de archivo seguro, intranet, terceras partes de confianza, etc.

Desde un punto de vista tributario, si se utilizan sistemas basados en la firma electrónica avanzada, el control fiscal será más fácil. Si bien, en el supuesto de utilizar otros procesos de negocio, aunque a priori parezca más fácil su utilización, resultará más difícil de demostrar que se generan las evidencias adecuadas a un proceso de gestión contable adecuado cuando se llegue al momento de la inspección fiscal. Esta mayor dificultad se aplicará tanto a las facturas electrónicas como en papel, por lo que, a la larga, los sistemas electrónicos con EDI o firma electrónica serán más sencillos.

En el marco de los sistemas de gestión de autenticidad e integridad, decribió la posibilidad de introducir un CSV (Código Seguro de Verificación) como el que contempla la Ley 11/2007 que permita acceder a la web del emisor de la factura y cotejarla con la original. Esta posibilidad ya se recoge en la norma española EHA/962/2007.

La principal novedad, por tanto se centraría en las evidencias de los nuevos procesos de negocio que se podrían calificar como pistas de auditoría fiables. Aunque con una aparente simplicidad, hablaríamos de sistemas en los que no vale todo: han de ser sistemas que puedan acreditar la autoría de una factura y su integridad, aplicando una triple conciliación (pedido, albarán, factura) y con validación semántica plena. Esto significa que las auditorías pueden ser más intrusivas.

De acuerdo con esta nueva Directiva (art. 247), cabe por tanto el almacenamiento en papel pero también en soporte electrónico mediante la utilización del sistema de digitalización certificada.

A continuación D. Héctor Sánchez Montenegro, de Microsoft, tras un breve repaso a las tecnologías disponibles y en particular a las más prometedoras de “computación en la nube”, hizo una introducción a la siguiente ponencia, que corrió a cargo de D. Santi Casas, socio-Director de ALBALIA INTERACTIVA, quien habló de OffInvoice, la solución internacional de facturación electrónica en entornos Office 2010.

Héctor comentó iniciativas de Microsoft concurrentes con las de impulso de la factura electrónica, en particular en el ámbito del DNI electrónico y destacó una reciente prueba de concepto de “Logon” de Windows Live con el DNI electrónico.

Santi Casas  hizo un recorrido histórico de las distintas aplicaciones y sistemas operativos que hemos venido utilizando desde hace 40 años hasta llegar al año 2009 en que se lanzó FactOffice y llegando a OffInvoice en 2010, aunque también adelantó algo acerca de Windows Azure Platform prevista para 2011, que será un sistema operativo totalmente en red pensado para el Cloud Computing.

Comentó que a fecha de hoy ha habido más de 6.000 descargas de FactOffice  en Codeplex y que Offinvoice, diseñado para entornos Office 2010, permite trabajar tanto en Word como en Excel. Esta nueva aplicación da soporte a mútiples idiomas de la Unión Europea ya diferentes formatos de facturas: facturae, UBL y UN/CEFACT CII. FactOffice recibió en 2009 un premio de CatCert como mejor solución de firma electrónica, y Offinvoice incluye la misma tecnología de firma.

Santi avanzó que la próxima versión de Office 2010 incluirá librerías propias XAdES de firma electrónica para las aplicaciones que se basan en el formato OOXML.

Tras destacar las principales características de Offinvoice llevó a cabo una demostración de creación de una factura electrónica en Excel y su transformación a los diferentes formatos: facturae 3.1 y 3.2, UBL, CII o en papel, las cuales firmó electrónicamente con una tarjeta de Firmaprofesional. Un aspecto interesante de Offinvoice es que mantiene la estructura interna de las facturas (facturae, UBL o CII) dentro de ficheros OOXML como docx o xlsx, de forma que pueden visualizarse con cualquier aplicación compatible con OOXML (ISO 29500) aunque nos esté adaptada de forma expresa a la gestión de facturas.

Sobre Innovación empresarial, más allá de la regulación y de la evolución de estándares habló D. Mario Tanco, Director General de Desarrollo y Recursos con una ponencia muy práctica y racional respecto de la problemática asociada a la facturación electrónica y la innovación. Destacó la importancia del uso de la información estructurada y desmontó algunos mitos sobre lso “problemas” de la facturación electrónica. Estuvo algo crítico con algunas instancias de la AGE, reconociendo el esfuerzo de otras, especialmente del MITyC.

Tras el lunch, D. Oriol Bausa, Director General de Invinet Sistemes acometió su ponencia sobre ”Cross border invoicing”, señalando la importancia de los consensos en los estándares e identificando diferentes niveles de consenso: sintaxis, semántica, léxica y pragmática (de contexto). Repasó brevemente los perfiles definidos en CEN BII (CEN Workshop on ‘Business Interoperability Interfaces on public procurement in Europe’) que permiten definir un mínimo común (“core”) y extensiones nacionales, sectoriales y bilaterales. En los trabajos de CEN BII se utilizan los resultados de la Dirección General de Patrimonio  de España en torno al modelo ontológico de Códice (Componentes y Documentos Interoperables para la Contratación Electrónica). También trató sobre PEPPOL (Pan-European Public eProcurement On-Line), señalando que en este importante proyecto internacional no hay participación española.

Mr. Tim McGrath, Co-Chair of the Universal Business Language (UBL) Technical Committee, de OASIS, que trató sobre OASIS – UBL as a first generation UN/CEFACT – CII. Tim valoró la jornada como “Top Class”, un elogio que alcanza mayor significación si se considera que el Congreso de ASIMELEC se ha celebrado a continuación de la Conferencia de Alta Nivel sobre Factura Electrónica organizado por la Comisión Europea y que tuvo lugar los dos días que precedieron al congreso, con amplia representación de de ponentes internacionales. Tim McGrath, además de su rolo como voluntario en el desarrollo de UBL, es Managing Director y Principal Consultant of Document Engineering Services , y Asisstant Technical Director del Proyecto Peppol.  Tim explicó la historia de UBL, y de la colaboración entre UN/CEFACT y OASIS, concretada en la aprobación conjunta de ebXML y de los CCTS (Core Component Technical Specification ) que suponen la metodología de construcción semántica de documentos. En base a los CCTS de UN/CEFACT, OASIS ha elaborado 60 documentos en la versión 2.1 de UBL, cubriendo toda la cadena de suministro incluyendo los datos necesarios para el comercio internacional y alineados con la Core Component Library (CCL) 08B de UN/CEFACT. Dado que la recomendación del Grupo de Expertos se ciñe a la semántica de CII (Cross Industry Invoice), merced al acuerdo entre OASIS y UN/CEFACT, UBL (que utiliza la misma semántica y ofrece un modelo más maduro y una sintaxis más definida) se configura como el modelo de implementación inicial de CII, mientras el estándar concluye su definición. Este enfoque se sigue ya en diferentes proyectos: OIOUBL, svefaktura, NES, ePRIOR, CODICE, Peppol, y BII.

D. José María Sobrino, de la Subdirector General de Aplicaciones de Contabilidad y Control, de la Intervención General de la Administración del Estado (IGAE), del Ministerio de Economia y Hacienda, habló de Arquitectura Normalizada de Recepción de Facturas Electrónicas en la AGE (CTT) y de las conclusiones del Grupo de Trabajo creado para definirla. En el grupo de trabajo participaron 9 ministerios y 7 entidades públicas, con 23 personas de promedio en cada reunión. La comisión se estructuró en ponencias y el 25 de noviembre de 2009 se aprobaron las conclusiones: la propuesta de arquitectura, con la posibilidad de contar con un punto general de entrada de facturas electrónicas, la propuesta de interfaces normalizados y sus definiciones WSDL, la publicación de las conclusiones en el centro de Transferencias de Tecnología  (CTT) del Ministerio de Presidencia, lo que se hizo el 23 de diciembre de 2009, y la constitución de un comité de coordinación y supervisión integrado por representantes del Ministerio de la presidencia (coordinador) y de los ministerios de Economía y Hacienda; Industria, Turismo y Comercio; la Agencia Estatal de administración Tributaria y la Seguridad Social.

Los formatos se basan en los definidos en la Orden PRE/2971/2007, dando soporte a facturae versiones 3.0, 3.1 y 3.2; firma XAdES EPES y XL; y política de firma facturae 3.1. Los accesos podrán llevarse a cabo con usuario/contraseña y mediante certificados y no se admiten lotes de facturas. Las facturas se pueden enviar, anular y consultar. Al hacerlo, es posible acceder por identificador de factura o apunte registral. El registro electrónico centralizado o del órgano de la AGE es uno de los puntos clave, y otro las interfaces entre las plataformas y los sistemas de gestión de los organismos. Las facturas se pueden gestionar de forma manual y de forma automatizada.

Un gran trabajo de la administración pública que está a disposición de las plataformas de facturación electrónica para facilitar a sus clientes la gestión de facturas con la administración pública.

La última ponencia del Congreso corrió a cargo de D. Anders Grangård, director de GS1  eCom Business Unit, y Co-Chairman de CEN eInvoice 3 que sustituyó a Stefan Engel-Fleschig, que no pudo quedarse por problemas de horarios de vuelo.

Anders explicó las sucesivas fases que ha tenido el CEN Workshop on electronic invoice, eInv, que en estos momentos inicia su tercera fase, con una reunión que había tenido lugar, precisamente en Madrid, los días 28 y 29 de abril (la segunda tras el kick-off inicial). A lo largo de las sucesivas fases, se han publicado recomendaciones como los CWA 15575, CWA 15577 o CWA 15579. En la fase 2 participaron 70 compañías y 6 autoridades fiscales, y se tuvieron 10 reuniones plenarias, 2 conferencias públicas con más de 120 personas y se definieron 25 gestores de información de país, para la plataforma eInvoice Gateway. El Grupo de Trabajo de CEN cooperó con otros, como UN/CEFACT, ETSI, GS1, Odette o el Expert gropup.

En la fase 3, que ha reunido a 30 personas en Madrid, se está trabajando sobre un juego de herramientas de verificación de cumplimiento que incluye al menos Reino Unido, Alemania, España, Italia, Francia, Polonia,… Va a ser posible desarrollar entornos de autocomprobación  respecto a un juego de criterios de conformidad.

Anders agradeció a ASIMELEC y al MITyC el apoyo al CEN al facilitar los medios de reunión y el soporte logístico para los participantes y le deseó éxito en sus actividades.

Tras ésta última ponencia tuvo lugar el Coloquio final con las Conclusiones que tuve el placer de resumir, y tras ellas, D. José Pérez, Director General de ASIMELEC cerró el acto con la correspondiente Clausura institucional, agradeciendo a los asistentes su participacion en una semana tan densa destinada a la factura electronica, con Madrid como sede protagonista.

Otras referencias:

IBM 4765 Cryptographic Coprocesor

2 respuestas

Estamos muy orgullosos con zBackTrust, nuestra solución de firma electrónica para Host IBM (Mainframe). Además de ser la única a nivel mundial para esta plataforma definida por los modelos z9 y z10, incorpora los aspectos más avanzados a nivel de estándares, como DSS  o PAdES.

Efectivamente, nuestras implementaciones de las normas suelen ser de las primeras que ven la luz tras la publicación de las especificaciones, por lo que siempre estamos dispuestos a hacer pruebas de compatibilidad con otros colegas.

Hemos sido los primeros en implementar firmas electrónicas en facturas electrónicas  codificadas en UBL y CII (Cross Industry Invoice) , además de facturae y nuestras soluciones en entornos Microsoft posiblemente sean de las más descargadas en Codeplex, dentro de nuestra especialidad.

El motivo de nuestra satisfacción en estos momentos es el soporte por parte de nuestras soluciones de Mainframe del nuevo HSM de IBM en formato PCIe, el modelo 4765, coprocesador criptográfico de nueva generación anunciado por el fabricante a finales de 2009.

Este equipo, cuya principal denominación será Crypto Express3 presenta unas avanzadas características desde el punto de vista de la seguridad, de la velocidad y de la potencia en términos de los algoritmos implementados, tanto de clave privada como de clave pública, además de disponer de procesadores redundados. Cuenta con la certificación FIPS-140-2 level 4

En los System z, se pueden configurar hasta 8 equipos, que mantienen separadas las áreas de funcionamiento de cada partición y facilitan la virtualización. Los equipos se pueden utilizar bajo z/OS, entorno en el que se le pueden exprimir todas sus posibilidades, y en distribuciones Linux  tanto de SuSE como de RedHat, en cuyo caso son compatibles con los equipos Cryptoexpress 2 (IBM 4764). Por cierto, el rendimiento de las nuevas tarjetas multiplica por 7 el de las de generación anterior. 

Gracias a la robustez de los equipos System z y de estos coprocesadores, nuestras implementaciones de firma electrónica son las más seguras del mundo, ya que los sistemas de IBM cuentan con la certificación Common Criteria EAL5 (una de las más elevadas que existen) para sus sistemas de particiones y los coprocesadores con la FIPS 140-2 ya mencionada.

Artículos relacionados:

Firmas avanzadas en PDF (PAdES) TS 102 778

3 respuestas

Desde el año pasado está disponible esta nueva especificación de firma electrónica en PDF compatible con las modalidades definidas en el marco de la legislación europea de firma electrónica.

  • ETSI TS 102 778-1 V1.1.1 (2009-07)
    Reference:DTS/ESI-000072-1 Source:ESI 706598 bytes (20 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 1: PAdES Overview – a framework document for PAdES
  • ETSI TS 102 778-2 V1.2.1 (2009-07)
    Reference:DTS/ESI-000072-2 Source:ESI 72540 bytes (12 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 2: PAdES Basic – Profile based on ISO 32000-1
  • ETSI TS 102 778-3 V1.1.2 (2009-12)
    Reference:RTS/ESI-000082-3 Source:ESI 85718 bytes (13 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles
  • ETSI TS 102 778-4 V1.1.2 (2009-12)
    Reference:RTS/ESI-000082-4 Source:ESI 170171 bytes (20 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 4: PAdES Long Term – PAdES LTV Profile
  • ETSI TS 102 778-5 V1.1.2 (2009-12)
    Reference:RTS/ESI-000082-5 Source:ESI 209958 bytes (27 Pages). Title: Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles;Part 5: PAdES for XML Content – Profiles for XAdES signatures

En Albalia Interactiva ya estamos trabajando para implementar las extensiones de firma PDF basadas en XAdES, en nuestro producto BackTrust. Nuestra plataforma ya soporta el resto de modalidades de firma electrónica en PDF, ya que son compatibles con las versiones anteriores de Acrobat. En breve, os presentaremos las primeras soluciones con soporte de PAdES-XL.