VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011

Deja un comentario

Hoy 17 de enero de 2011 se hace oficial el sitio Web y el 1er Call For Papers para el VI Congreso Iberoamericano de Seguridad Informática, que se celebrará del 2 al 4 de noviembre de 2011 en Bucaramanga, Colombia.

El anfitrión en esta edición será la Universidad Pontificia Bolivariana, de la mano de Dña. Angélica Flórez, Directora de la Facultad de Ingeniería Informática y de la Especialización en Seguridad Informática de esa universidad.

Se ha elegido una fecha muy propicia (miércoles 2 al viernes 4) porque en muchos países el martes 1 de noviembre es fiesta, lo que facilita los desplazamientos hacia la sede del evento en Bucaramanga y permite, además, prácticamente dedicar una semana al congreso y a visitar los encantos turísticos de esa hermosa región de Santander u otros lugares de Colombia.

El Comité Organizador, compuesto por D. Jorge Ramió, Dña. Angélica Flórez, D. Jeimy Cano y D. Reinaldo Mayol confía en atraer al máximo de congresistas a esta sexta edición del congreso internacional CIBSI 2011.

Más información:

SAP toma una participación de SECUDE

Deja un comentario

SAP y SECUDE AG han anunciado que SAP adquirirá el software de seguridad y de gestión de identidades de acceso, así como los activos relevantes, que incluyen recursos de desarrollo y consultoría de SECUDE.

Como resultado de esta transacción, SAP adquirirá los productos Secure Login y Enterprise Single Sign-On, incluyéndolos dentro de su portfolio de soluciones. Con esta operación SAP puede ofrecer a los clientes comunicaciones cliente-servidor seguras sin la necesidad de ofertas de terceras partes.

A pesar del cambio parcial de propiedad, SECUDE seguirá operando como una empresa independiente con foco en FinallySecure, una oferta de soluciones y productos para la protección de datos.

Tal y como informa la propia compañía, la adquisición de las soluciones claves de este proveedor de tecnología líder subraya el compromiso de SAP por invertir en seguridad para sus clientes y usuarios. Con la suma de los productos Secure Login y Enterprise Single Sign-On, SAP además cumple con el requerimiento clave de lanzar al mercado sus soluciones sin omitir el software de seguridad.

La seguridad en el entorno de TI del cliente se mejorará como resultado de una ruta de comunicación cifrada que se pre-configura tras la instalación en los emplazamientos de los clientes, reduciendo el TCO y los esfuerzos administrativos para los mismos. “Estamos muy contentos de que, una vez cerrada esta transacción, SAP no sólo se encuentre en la posición de satisfacer los requerimientos de seguridad de nuestros clientes, sino también de ampliar el componente SAP NetWeaver Identity Management”, ha declarado Björn Goerke, vicepresidente senior de la Plataforma de Tecnología e Innovación de SAP.

SAP ofrecerá una versión básica de Secure Login de SECUDE para su actual base de clientes y como una parte esencial de todos los nuevos lanzamientos sin ningún coste adicional.

Además, SAP invitará a los especialistas de desarrollo y consultoría de seguridad a unirse a la compañía para complementar y fortalecer sus capacidades a la hora de ofrecer consultoría relacionada con temas de seguridad.

Los clientes se enfrentan a multitud de problemas de integridad y seguridad en sus escenarios de negocio como resultado del incremento del cibercrimen y los ataques dirigidos contra los datos del negocio por parte de los hackers. La adquisición de Secure Login y Enterprise Single Sign-On de SECUDE permite a su vez a SAP dar respuesta a retos al ayudar a garantizar la seguridad en la comunicación de todas las compañías.

Para los clientes, ésta transacción les aporta una mayor seguridad para sus entornos de TI internos a través de la implementación de una clave de acceso simplificada y segura para los usuarios.

El fundador y CEO de SECUDE, Heiner Kromer ha señalado, “estoy muy satisfecho con que la amplia experiencia de SECUDE como uno de los líderes en el campo de la tecnología de seguridad esté ahora disponible para la amplia base de clientes de SAP. Este acuerdo es importante, sobre todo considerando el papel que juega la seguridad a la hora de garantizar el cumplimiento de las estrictas normativas gubernamentales para las empresas”.

La transacción entre SAP y SECUDE se prevé que finalice el 1 de febrero de 2011. La fecha de lanzamiento para los clientes de Secure Login está programada para el segundo trimestre de 2011.

La adquisición de los dos productos Premium de SECUDE ayuda a garantizar las conexiones a todos los sistemas SAP y ofrece la oportunidad de establecer un procedimiento de autenticación que habilita al usuario para acceder a varios sistemas con una sola instancia de identificación (single sign on)y federación de identidades dentro de cualquier interfaz y sistema heredado.

Con base en Emmetten (Suiza), SECUDE es un proveedor líder de productos, soluciones y consultoría de seguridad de TI para las empresas y organizaciones gubernamentales. De propiedad privada, la compañía se fundó en 1996 en base a la estrecha relación entre SAP AG y el Instituto Fraunhofer, uno de los institutos de investigación líderes de Europa.

SECUDE opera en los Emiratos Árabes Unidos, Hungría, Singapur, Estados Unidos, India, Vietnam y China, y cuenta con una plantilla de 150 empleados repartidos por todo el mundo.

 

Visto en Diario Informático

eConfianza – Confianza en la red

Deja un comentario

Ahora que el Grupo Interactiva es un grupo multimedia muy activo en redes sociales estamos rodando nuestras secciones de Contenidos Digitales.

Destaca entre ellas la colección de programas de radio «Confianza en la Red» que se emite todas las mañanas en Radio Lider en Galicia, y que se reproducen como «podcasts» en el Blog eConfianza.

Estamos invitando a nuestros amigos, partners, colegas e interesados a tratar durante 5 minutos temas relacionados con la Sociedad de la Información, y, destacadamente, temas relacionados con la Seguridad y Confianza.

Estos son los temas tratados hasta ahora:

Relacionados:

  • El año pasado estuvimos colaborando en un programa parecido, cuyos «podcasts» siguen disponibles: «Tiempo de emprendedores«.
  • El Grupo Interactiva publica también la Gaceta Interactiva «eConfianza«

Green Paper on expanding the use of e-Procurement in the EU

Deja un comentario

The European Commission published recently a Green Paper on extending the use of e-Procurement in the EU, http://ec.europa.eu/internal_market/consultations/2010/e-procurement_en.htm.

This Green Paper is quite biased against electronic signatures, which in my opinion demonstrates some ignorance about the matter, being one of the less complex issues of e-procurement. In Spain, and with the general availability of the Citizen ID Card (DNIe), electronic signature is straightforward.

Challenges identified (section 6.4, p 10) stresses the following:

Some of these solutions are technologically very simple e.g. the use of username/password combinations; others are more sophisticated, requiring specific types of electronic signatures, including qualified signatures (requiring a digital certificate issued by supervised/accredited Certification Service Providers). The decision to promote qualified e-signatures within the Action Plan may have set the point of reference for e-Procurement applications too high and increased the cost and burden of submitting tenders electronically…

A consultation on the Green Paper is open until 31/01/11.

Normativa de contratación pública

Deja un comentario

Cuando se participa en licitaciones (o cuando se licita) es conveniente conocer la normativa aplicable:

  • Orden EHA/1307/2005, de 29 de abril, por la que se regula el empleo de medios electrónicos en los procedimientos de contratación. Lea el texto íntegro.
  • Ley 34/2010, de 5 de agosto, de modificación de las Leyes 30/2007, de 30 de octubre, de Contratos del Sector Público, 31/2007, de 30 de octubre, sobre procedimientos de contratación en los sectores del agua, la energía, los transportes y los servicios postales, y 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa para adaptación a la normativa comunitaria de las dos primeras. [agosto 09, 2010] – Publicada en el BOE núm. 192, de 9 de agosto de 2010. Lea el texto íntegro.
  • Ley 30/2007 de 30 de Octubre de Contratos del Sector Público publicada en el BOE núm. 261, de 31 de octubre de 2007. Lea el texto íntegro.
  • Ley 31/2007, de 30 de octubre, sobre procedimientos de contratación en los sectores del agua, la energía, los transportes y los servicios postales. Lea el texto íntegro.
  • Real Decreto 817/2009, de 8 de mayo, por el que se desarrolla parcialmente la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público. Lea el texto íntegro.
  • Orden EHA/1490/2010, de 28 de mayo, por la que se regula el funcionamiento del Registro Oficial de Licitadores y Empresas Clasificadas del Estado. Lea el texto íntegro.
  • Orden EHA/3497/2009, de 23 de diciembre, por la que se hacen públicos los límites de los distintos tipos de contratos a efectos de la contratación administrativa a partir del 1 de enero de 2010. Lea el texto íntegro.
  • ORDEN EHA/1220/2008, de 30 de abril, por la que se aprueban las instrucciones para operar en la Plataforma de Contratación del Estado. Lea el texto íntegro.

E información adicional del portal de Contratación Pública:

Multitec homologa ante la AEAT su solución de Digitalización Certificada

1 respuesta

El Departamento de Informática Tributaria de la Agencia Estatal de Administración Tributaria (AEAT) ha concluido que el software de digitalización de facturas DEOSCAN-ALETHEIA V1.0 de Multitec cumple todos los requisitos para su homologación.

Según ha informado Multitec en un comunicado, este software único permite la introducción de firma electrónica durante el escaneo, garantizando así la integridad y autenticidad de los documentos electrónicos desde el mismo momento de su creación. Igualmente se garantiza un proceso automático de digitalización de facturas y captura de metadatos básicos obligatorios.

Este sistema es totalmente compatible con la mayor parte de programas de gestión electrónica documental disponibles en el mercado. Multitec presentó el pasado mes de mayo la solicitud para la homologación de su software en el Departamento de Informática de la Agencia Tributaria. Aportó la documentación técnica necesaria, el informe de auditoria y el plan de gestión de calidad. Incluyó un informe de autoría independiente, emitido por Albalia Interactiva, en el que se concluye que el software cumple con las condiciones exigidas por la orden EHA/962/2007.

Visto en Europa Press

«La red Made in Europe» tiene un trasfondo legal característico

4 respuestas

Hace algún tiempo preparé unas notas para la reunión de Saviálogos’09 organizada por CAN · Banca Cívica y las he redescubierto estos dias entre mis documentos cuando preparaba la Memoria de Actividades del año 2010 (estas notas son del 2009). Lo cierto es que insisten en los temas que trato en este blog.

Aunque los aspectos más evidentes de la red tienen que ver con la imagen y la comunicación, en cierta forma, aspectos superficiales, aunque importantes, lo cierto es que se está trabajando en crear un espacio jurídico relacionado con la red que permita la protección de derechos de forma equivalente a la que se cuenta en el mundo físico.

Por supuesto, algunos elementos de ese desarrollo legal tienen una variante superficial que arrastra su propia controversia, como por ejemplo la forma de proteger los derechos de propiedad intelectual, e incluso su cuestionamiento, a la luz del desarrollo de mecanismos de intercambio de archivos que, en última instancia, representan activos intelectuales, como música, películas, libros,…

Sin embargo, se está llevando a cabo de forma menos evidente un gran esfuerzo para que la gestión documental probatoria, actualmente basada en el papel, y centro de la actividad jurisdiccional en la que interviene la fe pública (notarios, registradores, jueces, secretarios judiciales) se rediseñe a la luz de las tecnologías de la red.

Cuando el concepto de documento “original” se difumina, la forma de definir ciertos atributos de los documentos cambia. Por ejemplo, ¿cómo se maneja el “endoso” cuando este no se sustenta en papel? ¿y la “obliteración”, como la que afecta a un título de transporte? ¿y cómo se presentan en juicio los “documentos electrónicos” con valor probatorio?

Aunque la promesa de la desmaterialización de los documentos se extiende a todas las capas de la sociedad, cabe reconocer que su impulso se está acelerando en el marco del sector público, a través de lo que se ha dado en llamar e-administración.

El impulso de la e-administración en España está suponiendo dar respuesta a los compromisos comunitarios y a las iniciativas europeas puestas en marcha a partir del Consejo europeo de Lisboa y Santa María de Feira. La Unión Europa ha impulsado la implantación de la e-administración a través de sucesivas actuaciones. Destaca la iniciativa “eEurope” que se creó con el propósito, entre otros, de conectar a la red y llevar la era digital a cada hogar, ciudadano, empresa y administración pública. Dentro de esta iniciativa se han desarrollado los programas eEurope 2002 y eEurope 2005 “Una sociedad de la información para todos”.

Tras la revisión del Plan Europe, la Comisión europea ha lanzado el nuevo marco de actuación estratégico, “i2010 Una sociedad de la información europea para el crecimiento y el empleo” en el cual se incluye como Objetivo número 3 el impulso de “Una sociedad de la información que sea incluyente, ofrezca servicios públicos de gran calidad y promueva la calidad de vida”.

Dentro de este nuevo marco destaca el Plan de acción sobre administración electrónica i2010,  plan destinado a hacer más eficaces los servicios públicos, a modernizarlos y a ajustarlos mejor a las necesidades de la población.

En el marco europeo encontramos diversas directivas comunitarias referentes a la prestación de servicios en la sociedad de la información y el comercio electrónico, (D 2000/31/CE); la firma electrónica (D 1999/93/CE); comunicaciones electrónicas (paquete de Directivas 2002/19,20,21,22 / CE); contratos del sector público obligando a los estados miembros a la creación de plataformas para la contratación electrónica ó al menos articular medios electrónicos para la participación en los concursos (D 2004/17;18/ CE); y reutilización de la información del sector público (D 2003/18/CE).

Asimismo, se aprobó la Directiva 2006/123/CE7, denominada directiva Bolkenstein relativa a los servicios en el mercado interior que establece, entre otras obligaciones para los Estados miembros, la de facilitar por medios electrónicos acceso a los trámites relacionados con las actividades de servicios y a la información de interés tanto para los prestadores como para los destinatarios de los mismos. Esta directiva establece medidas destinadas a la simplificación administrativa y en particular a los procedimientos electrónicos. En este sentido los artículos 6, 7 y 8 de la Directiva pueden considerarse traspuestos por la LAECSP (Ley 11/2007),  a esta última directiva.

En España, la LAECSP (Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos) es uno de los instrumentos más potentes para conceptualizar la desmaterialización documental, si bien tiene algunos errores y requiere bastante normativa de desarrollo. Es una norma que implica un gran salto sobre la referenciada ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y que se rodea de otras con el mismo objetivo: la Ley 30/2007, la Ley 22/2007, o la Ley 56/2007, que extienden su aplicación al sector público y al sector privado.

Establecido el marco legal, todavía queda margen para generalizar e interiorizar los elementos esenciales de la gestión documental electrónica con valor probatorio. Algunos elementos claves son los siguientes:

  • Sede electrónica. Dirección web estable (en el tiempo) en la que existen garantías de la gestión de documentos auténticos en relación con un organismo público o privado. Con el concepto de localizador o CVE es posible verificar la autenticidad y completitud de los documentos electrónicos relacionados con una sede.
  • Firma electrónica. Elemento que convierte a un documento electrónico en inmodificable y lo asocia a un firmante, por lo que se vincula a su “voluntad de firmar” (bajo el principio básico de la validez de las obligaciones en relación con el “vicio de consentimiento”). La interoperabilidad se basa en las “firmas completas” de tipo XAdES-XL.
  • Custodia digital. Archivo electrónico asociado a una sede electrónica que garantiza la conservación de los documentos y su disponibilidad. No debe ser posible ni insertar documentos en una serie de precedencias (que no sea la que corresponda al momento de la inserción) ni eliminarlos. Permite la preservación a largo plazo de los documentos y la gestión de metadatos estables y metadatos dinámicos.
  • Metadatos. Conjunto de datos asociados a un documento. Algunos son estables, como persona/organismo generador/firmante o fecha de creación, y otros son dinámicos, como fecha de último acceso o último organismo que lo consultó. Ciertos tipos de metadatos son esenciales para el  concepto de completitud documental: poseedor del documento (en caso de endosos), otros documentos que los modifican (como anexos o derogaciones), ejercicio de su derecho (por ejemplo en la obliteración), anotaciones o sellos sobre el documento.
  • Conversiones. Los sistemas manejan múltiples formatos y protocolos, y por eso son necesarios sistemas de adaptación entre ellos. Singularmente un tipo de conversión llamado “reproducción facsimilar” (asociada al formato PDF/A) permite la visualización de documentos por humanos  independientemente de su formato original.
  • Referencias temporales. El tiempo juega un papel esencial en aspectos como licitaciones, contrataciones sobre bienes de cotización variable, acceso a registros telemáticos o sistemas de notificación fehacientes,… Es por ello que el Timestamping (o sellado temporal) juega un papel esencial tanto en la firma electrónica como en la custodia digital.
  • Compulsas. La convivencia entre documentos en papel y documentos electrónicos requiere mecanismos que permitan transferir los documentos para ser usados en diferentes dominios virtuales o físicos. Mecanismos como la compulsa, la novación electrónica o la digitalización certificada resuelven esta necesidad.

No acaban aquí los elementos claves de la gestión documental electrónica vinculada a la gestión transaccional, pero esta lista es un comienzo para la reflexión.

Como lo es la lista de tipos de documentos cuyo empleo hay que definir:

  • Acta, Instancia, Recurso, Oficio, Exhorto, Suplicatorio, Mandamiento, Certificado, Informe, Memoria, Resolución, Notificación, Solicitud,…

Lo que parece cierto es que aunque Europa no lidera aspectos tales como los buscadores o los navegadores (con la honorable salvedad de Opera), sí que está marcando muchas pautas en el desarrollo de la gestión documental electrónica en la red, en particular en la administración electrónica.

Nota: Algunas referencias están tomadas de los temas preparatorios de «Técnico de Administración General» de la Diputación Provincial de Alicante. LA  e-ADMINISTRACIÓN:  CONCEPTO.  RÉGIMEN  JURÍDICO  DE  LA ADMINISTRACIÓN  ELECTRÓNICA.  GESTIÓN  ELECTRÓNICA  DE PROCEDIMIENTOS ADMINISTRATIVOS.

PAdES: PDF Advanced Electronic Signature (ETSI 102 778)

Deja un comentario

El estándar PAdES (ETSI TS 102 778) perfila el soporte para firmas digitales del formato PDF 1.7 (ISO 32000-1) con la finalidad de poder incluir firmas electrónicas avanzadas en los documentos PDF. Además, amplía dicho soporte ya que define estructuras de datos adicionales que sirven para mantener la validez de las firmas durante períodos largos de tiempo. Está previsto que las extensiones de ISO 32000-1 que define PAdES sean recogidas por ISO 32000-2.

Concretamente, PAdES (ETSI TS 102 778) define los siguientes perfiles:

  • PAdES-CMS: Define una firma CMS/PKCS#7 basada en ISO 32000-1, que tiene como restricciones específicas la necesidad de que la clave /ByteRange del diccionario de firma abarque la totalidad del documento y que la clave /SubFilter sólo pueda contener los valores adbe.pkcs7.detached y adbe.pkcs7.sha1. Además, este perfil recomienda la inclusión de un sello de tiempo como un atributo no firmado del CMS/PKCS#7. Este es el perfil soportado por la mayor parte de la soluciones de software que generan firmas en PDF.
  • PAdES-BES y PAdES-EPES: Define una firma CAdES-BES (ETSI TS 101 733) y otra CAdES-EPES (ETSI TS 101 733) que tienen como restricciones específicas la necesidad de que la clave /ByteRange del diccionario de firma abarque la totalidad del documento, la obligatoriedad de que la clave /SubFilter tenga el valor ETSI.CAdES.detached y la prohibición de utilizar la clave /Cert. Ambos tipos de firma admiten la posibilidad de incluir un sello de tiempo que las convierta, de hecho, en firmas CAdES-T (ETSI TS 101 733). Así pues, las características de las firmas PAdES-BES y PAdES-EPES son las mismas que las de las firmas CAdES-BES, CAdES-EPES y CAdES-T.
  • PAdES-LTV: Este perfil constituye una extensión de ISO 32000-1, ya que define dos estructuras que permiten prorrogar la validez de las firmas por tiempo indefinido. Por un lado, el diccionario DSS (Document Security Store), cuya finalidad es contener todos los datos de validación (certificados de CA, CRLs y respuestas OCSP) que sean necesarios para validar las firmas del documento. Por otro lado, el diccionario Document Time-Stamp, que es un diccionario de firma ISO 32000-1 cuya clave /SubFilter tiene el valor ETSI.RFC.3161 y que contiene un sello de tiempo de todo el documento PDF, incluyendo el diccionario DSS en el que se guardan los datos de validación de las firmas. Este sello de tiempo mantendrá, durante su vigencia, el valor probatorio de los datos de validación de las firmas. Es decir, mantendrá su fortaleza más allá de la fecha de caducidad que tengan. Por otro lado, antes de que el primer sello de tiempo caduque, podrán utilizarse de nuevo las estructuras DSS y Document Time-stamp con la finalidad de mantener el valor probatorio de dicho sello y, de este modo, mantener la validez de la firma. En este caso el diccionario DSS contendrá los datos de validación del primer sello de tiempo. Y el diccionario Document Time-stamp, un segundo sello de tiempo que abarcará, de nuevo, la totalidad del documento. De este modo, repitiendo la adición de un diccionario DSS que contenga los datos de validación del ultimo sello de tiempo y la de un diccionario Document Time-stamp que contenga un nuevo sello de tiempo, se puede mantener la validez de las firmas de un documento PDF durante un tiempo arbitrario. Mediante la utilización del perfil PAdES-LTV sobre documentos PDF que contengan firmas generadas de acuerdo a los perfiles PAdES-BES y PAdES-EPES se consiguen firmas con las mismas características de longevidad que las firmas CAdES-XL y CAdES-A (ETSI TS 101 733).
  • PAdES-XML: Engloba un conjunto de perfiles que describen como utilizar las firmas XAdES (ETSI TS 101 903) en los documentos PDF. Concretamente, se distingue entre que los documentos firmados según XAdES sean documentos XML cualesquiera y que los documentos firmados según XAdES correspondan a formularios XFA.

Referencias:

Afectados por el Cierre del Espacio Aéreo

Deja un comentario

Cremades coordina a 150 notarías para facilitar las demandas contra los controladores aéreos que abandonaron sus puestos de trabajo provocando e cierre del espacio aéreo español la tarde del 3 de diciembre de 2010. Son más de 600.000 personas las afectadas.

El bufete Cremades & Calvo Sotelo, en representación legal de la Agrupación de Afectados por el Cierre del Espacio Aéreo, ha coordinado la emisión de un mismo tipo de poder con más de 150 notarías de toda España para facilitar que los afectados por el caos aéreo puedan cumplimentar el otorgamiento de poderes para pleitos.

El establecimiento de estos poderes es necesario para que los letrados puedan realizar las acciones legales que se consideren oportunas para alcanzar la indemnización pretendida por el colectivo: devolución de los daños materiales sufridos y una indemnización global para cada uno de 10.000 Euros.

El listado de las Notarías, repartidas por toda la geografía española, puede consultarse igualmente en la web de la Agrupación y de Cremades & Calvo Sotelo. Estas notarias estarán habilitadas todo el mes de enero (únicamente los días laborables y en horario de oficina) para que cualquier afectado pueda otorgar ante Notario el correspondiente poder para pleitos.

Según ha especificado el bufete Cremades en un comunicado “el mayor número de afectados se encuentra en las ciudades de Madrid, Barcelona, S/C de Tenerife, Sevilla, Mallorca, Málaga, Bilbao, Pamplona, Logroño, Valencia, Las Palmas de Gran Canaria y Zaragoza.