Custodia digital: la protección de la integridad

Deja un comentario

La protección de la integridad y de la autenticidad de la información es un elemento que poco a poco ha ido apareciendo como un concepto clave en el ámbito profesional de los directivos españoles. En este contexto aparecen términos como la protección de registros de auditoría (o logs) y la protección de su integridad.

Albalia Interactiva ha firmado un acuerdo como socio estratégico de Kinamik Data Integrity, empresa de software líder en el desarrollo de soluciones específicas para la protección de la integridad de la información en tiempo real. En el modelo de Albalia de Gestión de documentos electrónicos de carácter probatorio, una de las piezas claves es la firma electrónica y otra el sistema de custodia digital con metadatos. Hablaré en próximos artículos de las posibilidades de unir los dos conceptos, de su relación con la Ley 11/2007 y el cumplimiento de los recientemente publicados esquemas de Seguridad e Interoperabilidad, o el cumplimiento de la LOPD. En el artículo de hoy me centraré en las razones por las que es importante mantener registros de auditoría (o logs) correctamente protegidos, y que rol representa Kinamik para su correcta gestión.

Kinamik Data Integrity es una empresa de software especializada en la protección de la integridad de la información.

Han desarrollado una solución de software que recoge, asegura y centraliza en tiempo real los registros de auditoría (o logs) desde diversas fuentes. Al procesarlos les aplica un “sello digital” que permite evidenciar cualquier intento de manipulación, obteniendo por lo tanto pruebas irrefutables de su integridad. La solución de Kinamik, llamada Secure Audit Vault, aporta una serie de beneficios para las organizaciones, entre los que destacan la reducción de costes en procesos de auditoría (interna o externa), la gestión de pruebas electrónicas y/o procesos de investigación de informática forense. Asimismo, facilita el cumplimiento de leyes y estándares, como la Ley 11/2007, la LOPD, la norma utilizada en entornos de pago PCI-DSS o la norma ISO 27001, especialmente en lo que se relaciona con la prevención y detección de la manipulación de los registros electrónicos. Finalmente disuade el fraude, reduce el riesgo e impacto de la amenaza interna y sirve como soporte en procesos judiciales al aumentar el valor probatorio de los registros, dándoles una mayor validez legal y permitiendo su uso como prueba electrónica en caso de litigio.

Su principal diferencial respecto a otras tecnologías que intentan dar protección de la integridad (uso de autoridades de sellado de tiempo (TSA), dispositivos WORM (Write Once, Read Many), herramientas de gestión de eventos (SIM/SEM), hash simple, firma digital, etc) se centra en la capacidad de procesar y asegurar la información en tiempo real, aplicando un sello de inmutabilidad al mayor nivel de detalle. Cuando se desea proteger información en contextos de alto rendimiento, por ejemplo logs, las tecnologías existentes crean una ventana de oportunidad que permitiría que una manipulación de los ficheros no fuera detectada o, aún peor, podría dar una falsa sensación de seguridad. La existencia de esta ventana de oportunidad para la manipulación hace además que los ficheros pierdan valor probatorio, pues las organizaciones se encuentran con la imposibilidad de probar un negativo, es decir, probar que nadie ha hecho nada en los ficheros y que no han sido manipulados desde el momento de su creación.

Este hecho aparentemente trivial de demostrar la existencia en un momento dado y la integridad de un documento electrónico –por ejemplo con una firma digital– se transforma en imposible por los inmanejables costes computacionales que implicarían aplicar una firma por cada fracción de segundo, en forma constante. Este mismo contexto –alto rendimiento, aplicación de numerosas “sellos” por segundo, etc- hace impracticable el uso de los servicios de autoridades de sellado de tiempo (TSA), pues su carácter transaccional implica altísimos costes por el elevado número de transacciones a “sellar” y los altísimos niveles en el uso de recursos (en particular ancho de banda),

El sector TIC cierra 2009 con una caída del 8 por ciento

Deja un comentario

Visto en Dealer World (2.2.2010) Autor: Bárbara Madariaga

Aunque los datos todavía son preliminares, Asimelec ha adelantado cuál fue la situación del sector durante el año pasado. Así, y según Martín Pérez, presidente de Asimelec, “en 2009 todos los mercados que componen el sector TIC tuvieron pérdidas”. De cara a 2010, “este año se presenta crítico, sobre todo, si se continúa recortando la inversión pública”.

Según los datos que maneja Asimelec, la industria TIC cerró 2009 en negativo. En total la caída global fue del 8 por ciento, “aunque en algunos mercados ésta alcanzó el 20 por ciento” destacó Martín Pérez. Así, por sectores, el mercado de telecomunicaciones descendió un 6 por ciento; el de software y servicios un 5 por ciento; el audiovisual, un 24 por ciento; el de Internet y servicios informáticos un 3,5 por ciento; el de electrónica un 22 por ciento; y el de hardware de consumo un 14,65 por ciento. En lo que respecta a los teléfonos móviles, la caída en facturación fue del 38,77 por ciento, si bien la caída en unidades vendidas fue del 2,1 por ciento. Un dato relevante, “que demuestra cómo ha afectado a algunos mercados el descenso de los precios”, es el dato que afecta al mercado de ordenadores portátiles. “Si bien éste creció en unidades vendidas en un 24,7 por ciento, la caída del negocio fue del 3,61 por ciento”.

Asimismo, cabe señalar que “la caída del mercado de consumo ha afectado a sectores como las cámaras digitales, que registraron un descenso del 13,34 por ciento”. La misma situación del mercado de portátiles la ha vivido el sector de televisores de plasma, “que ha visto cómo se ha incrementado la venta de unidades en un 29,7 por ciento, pero también ha sido testigo de la caída de su facturación, en un 4,35 por ciento”.

Causas

Las causas de esta situación hay que buscarlas en la debilidad del mercado de consumo, la falta de inversión por parte de las empresas y la reducción de presupuesto de las Administraciones Públicas. En este sentido, Martín Pérez señaló que “es necesario que realmente tanto Gobierno, como Comunidades Autónomas fomenten la inversión en el sector TIC si de verdad quiere que sea el motor del cambio de modelo de negocio”. Martín Pérez, además, recalcó la necesidad de que “desde la Administración Pública se dejen de palabras para pasar a los hechos, y denunció la exclusión del sector a la hora de elaborar la Ley de Economía Sostenible». Además, también aseguró que “aunque todavía es pronto para decirlo, las pérdidas del sector TIC en 2009 pueden alcanzar los 4.000 millones de euros”.

Previsiones para 2010

De cara a 2010, Martín Pérez se mostró más optimista al asegurar que “habrá sectores como la telefonía móvil, el cloud computing, SaaS, la TDT, los videojuegos o los contenidos digitales, que tendrán crecimientos”.
No obstante, “el consumo seguirá debilitado, a pesar de que en el último trimestre hubo brotes verdes”.

En global, las previsiones de Asimelec aseguran que “el sector TIC en 2010 caerá un 2,5 por ciento, un dato muy negativo si se tiene en cuenta que los países que componen la región EMEA crecerán alrededor de un 4,5 o un 5 por ciento. Esto significa que nos sacarían una ventaja del 7 por ciento”.

Asimismo, Asimelec ha detallado cuáles son las acciones que se van a adoptar desde su patronal, y que tienen el objetivo de “fortalecer el valor de las TIC en la economía”. Así, durante los próximos meses “vamos a desarrollar una serie de congresos que tendrán al Green IT, el hogar digital, la TDT, la factura electrónica o el e-DNI, como principales temas».

Publicados el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad

9 respuestas

Se han publicado en el BOE del 29 de enero de 2010 el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad que siguen completando la normativa de desarrollo de la Ley 11/207, como el Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.

En previsión de esta publicación, Atenea Interactiva ya había anunciado su seminario  e-Administración -Adaptación a la Ley 11/2007 y a la Ley 30/2007, que tendrá lugar el día 17 de Febrero en Madrid, con el siguiente programa:

9:30 – 10:00 Nuevo Marco Legal de eAdministración y Contratación Pública Electrónica

  • Resumen de Legislación.

10:00 – 10:45 Identidad digital y DNIe

  • La identidad digital en Internet.
  • DNIe y la firma Electrónica.
  • Servicios de Validación de certificados.
  • Aceptación de Certificados de otros países.
  • Dispositivos Seguros de Creación de Firma.

10:45 – 11:00 Documento Electrónico

  • Modelo General del documento electrónico de carácter probatorio.
  • Firma Electrónica, Custodia Digital, Sede Electrónica y Metadatos.
  • Convivencia de los documentos electrónicos y de los documentos en papel: Compulsa, digitalización certificada y copia constatable.

11:00 – 11:30 Coffe-Break

11:30 – 12:15 Sede electrónica

  • La Sede electrónica en la Ley 11/2007 y en el RD 1671/2009.
  • Autenticidad. Certificados.

12:15 – 13:00 Registro telemático

  • Flujo de documentos. Conservación y registro de entradas.
  • Distribución de copias electrónicas a los distintos usuarios
  • Visor de Documentos, firma electrónicas, validaciones y sellados de tiempo.
  • Orden PRE/3523/2009 Registro Electrónico Común

13:00 – 13:45 Notificación fehaciente por vía telemática

  • SMS y correo electrónico certificado

13:45 – 14:30 Expediente Electrónico

  • Compulsa electrónica de documentos. Digitalización de Documentos.
  • identificación de los empleados públicos en los trámites telemáticos.

14:30 – 16:00 Cocktail Buffet

16:00 – 16:45 Esquemas Nacionales de Interoperabilidad, y de Seguridad

  • Interoperabilidad organizativa, semántica técnica.
  • Políticas de Firma electrónica y de Documentos electrónicos.
  • Principios del Esquema Nacional de Seguridad.
  • Requisitos mínimos de Seguridad.
  • Auditoría bienal de la Seguridad.

16:45 – 17:30 Contratación pública electrónica. Licitación electrónica

  • Perfil del Contratante.
  • Publicación Fehaciente.
  • Factura electrónica.
  • Tipos Contractuales
  • Expediente de Contratación. Fases de la Contratación Pública
  • Tipos de Procedimientos
  • Usos de medios electrónicos, informáticos y telemáticos en los procedimientos de contratación Pública.

17:30 – 18:00 Coloquio

El seminario lo impartimos Santi Casas, Fernando Pino y yo mismo.

Breve historia de la FNMT-RCM como PSC

1 respuesta

La FNMT-RCM ha sido uno de los prestadores de servicios de certificación más significativos, y el que más certificados tiene emitidos, si exceptuamos a la Dirección General de Policía con el DNIe.

Hace unos meses, se publicó un breve resumen histórico de sus actividades en la revista Computing. El artículo es de Lola Sánchez. Lo reproduzco a continuación

Tras la puesta en marcha en 1996 del proyecto CERES (CERtificación ESpañola), la Real Casa de la Moneda-Fábrica Nacional de Moneda y Timbre (RCM-FNMT) se constituyó en 1997 como Prestador de Servicios de Certificación (PSC), convirtiéndose en un agente clave de la expansión de la Sociedad de la Información. Los primeros pasos de la RCM-FNMT en este campo sentaron las bases de una carrera que está lejos de terminar. Diego Hernández, al frente de la Dirección de Sistemas de Información del Departamento Ceres de la RCM-FNMT, explica que “en esos años se elaboró un Plan de Viabilidad y se estudiaron iniciativas similares de carácter internacional con un objetivo claro: dar un servicio a los ciudadanos con un certificado electrónico como soporte; potenciando, en consecuencia, el uso de Internet”.

La iniciativa exigía a la RCM-FNMT dotarse de una plataforma y de una serie de tecnologías, específicamente una Infraestructura de Clave Pública (PKI-Public Key Infrastructure), capaz de dar soporte a los diferentes procesos que configuran el ciclo de vida completo de los certificados. Se levantó entonces una plataforma hardware, formada fundamentalmente por equipos Sun/Solaris, que ha resultado clave en el avance del proyecto Ceres en tanto que “nos ha permitido llegar a los casi dos millones de certificados activos y dar soporte a las miles de aplicaciones que funcionan con Ceres”.

La plataforma de la RCM-FNMT, que cuenta con el certificado de seguridad EAL3+ (ALC-FLR.1) otorgado por el Centro Criptológico Nacional según el esquema de certificación europeo Common Criteria, lógicamente se encuentra en un CPD que cumple con la más estricta normativa en materia de seguridad y cuenta con tres entornos diferenciados de desarrollo, preproducción y producción. A día de hoy, la plataforma se encuentra en proceso de migración al calor de la incorporación de nuevos equipos Sun Sparc Enterprise M5000 a la búsqueda de niveles máximos de escalabilidad y disponibilidad.

En la misma línea y hace ahora alrededor de un año, también se modernizó la infraestructura de almacenamiento SAN de la plataforma Ceres, pasando de máquinas EMC Clariion a sistemas Symmetrix. Adicionalmente, se encuentra en fase de estudio avanzado el proyecto para la construcción de un Centro de Respaldo y no se descarta la posibilidad de que se realice en un centro alternativo de la propia RCM-FNMT.

No en vano, la misión de la RCM-FNMT es dar servicios 24×7 de validación de certificados, firma, verificación y facturación electrónica, además de gestionar todo el ciclo de vida de los certificados, entre los que se encuentran los certificados de personas físicas y de personas jurídicas para el ámbito tributario y el de las Administraciones Públicas; así como certificados de componentes y servicios avanzados. Se trata de una misión críticaque requiere de una plataforma robusta y, al mismo tiempo, muy flexible. “El servicio de Sellado de Tiempo (Time Stamping) dispone de un entorno autónomo constituido por un oscilador de rubidio y dos centrales de sincronización ubicadas en un rack dedicado. Todo el sistema está sincronizado permanentemente con el Real Observatorio de la Armada, lo que permite alcanzar precisiones horarias de nanosegundos. Toda la infraestructura está configurada para asumir grandes variaciones en el nivel de carga, coincidiendo con los periodos de presentación de declaraciones de Renta o pago de IVA”, indica José Francisco Jerez, jefe de Servicio del Área Técnica de la Dirección de Sistemas de Información del Departamento Ceres de la RCM-FNMT, en el que trabajan un total de 36 personas.

Otro componente clave de la infraestructura de Ceres es la plataforma de PKI (Public Key Infrastructure), es decir, el sistema mixto hardware/software que permite la generación de certificados; un entorno lógicamente muy protegido. En su momento, la selección de PKI exigió un profundo análisis dado su carácter incipiente y, de hecho, España fue pionera en su apuesta por esta tecnología. “Cuando empezamos en el año 1996 no había prácticamente ninguna tecnología PKI plenamente probada, de modo que en los análisis de viabilidad se estudiaron las alternativas de Baltimore, Entrust y de otras europeas para determinar finalmente que Entrust era la más avanzada”, recuerda Hernández. No obstante y el con el paso del tiempo, la española Safelayer desarrolló su propia tecnología de PKI y en 2000 la RCM-FNMT decidió migrar de modo que, a día de hoy, la RCM-FNMT utiliza ambas: Entrust ySafelayer.

El frontal de la plataforma de CERES está formado por cinco servidores web Apache, en tanto que la capa de aplicaciones es Oracle OAS y la de BBDD descansa también en Oracle.“Actualmente”, comenta Jerez, “algunas de aplicaciones ya funcionan con Oracle 10g y se están migrando otras, aunque lentamente para garantizar la compatibilidad”.

Renta On Line, prueba de fuego

La fiabilidad y correcta operativa de esta plataforma se constató mediante el desarrollo de proyectos pilotos con más de 60 organismos en los tres niveles de la Administración (AGE, CCAA y administración local), hasta que en 1999 se produjo un hito de primer orden. Ese año la Agencia Tributaria (AEAT) daba por primera vez la posibilidad de realizar las declaraciones de impuestos a través de Internet. “En esa primera ocasión”, recuerda Hernández, “sin marketing ni anuncios, con 15.000 certificados se realizaron 26.000 declaraciones de impuestos”.

Con los años, el uso de certificados para la declaración on line de impuestos ha crecido exponencialmente y, a día de hoy, “son casi 3,7 millones de declaraciones las que se realizan telemáticamente y, del total, un 98,6 por ciento usan nuestro certificado”.

Pero no es el único ámbito en el que se ha expandido su uso. “El Ministerio de Economía, el Ministerio de Sanidad, el Ministerio de Interior, El Ministerio de Defensa…, es decir,prácticamente toda la Administración General del Estado tiene aplicaciones que hacen uso de los certificados Ceres; además tenemos convenios con todas las CCAA con la excepción de Cataluña, País Vasco y Valencia, que tienen sus propias entidades públicas de certificación; y en el ámbito local hay más de 5.500 ayuntamientos que están adheridos o tienen un convenio con la RCM-FNMT”, comenta Hernández.

Lejos de hacer sombra a los certificados de Ceres, la llegada del DNI electrónico ha supuesto un revulsivo para la RCM-FNMT. De hecho, la RCM-FNMT ha jugado un papel clave en el desarrollo de este estratégico proyecto impulsado por el Ministerio de Interior y la Dirección General de la Policía. Y es que, la RCM-FNMT no sólo fabrica el soporte físico del eDNI, también participó activamente en su diseño, así como en el del sistema operativo y los kioskos asociados. “Verdaderamente el DNI electrónico llega en un momento totalmente adecuado; nosotros, como entidad pública de certificación estábamos a la expectativa y hemos visto que desde su nacimiento en Burgos el 16 de marzo de 2006 el DNI se ha extendido y ha permitido ver a los ciudadanos que existe la firma electrónica y su utilidad”, señala Hernández, para apostillar que “desde que el DNI electrónico nació, en Ceres hemos tenido un crecimiento exponencial y estamos emitiendo entre 1.500 y 1.700 certificados al día”.

No obstante, el DNI electrónico también ha requerido de la RCM-FNMT una evolución tecnológica al calor de su constitución en 2006 comoEntidad Pública de Validación del DNI electrónico. Hay que señalar que en la PKI adoptada para el DNI electrónico, se ha optado por asignar las funciones de Autoridad de Validación a entidades diferentes de las Autoridades de Certificación, con el objetivo de aislar la comprobación de la vigencia de un certificado electrónico de los datos de identidad de su titular. De este modo, la Autoridad de Certificación (en este caso el Ministerio de Interior-Dirección General de la Policía) no tiene acceso a los datos de las transacciones que se realizan con los certificados que ella emite y, por otro lado, la Autoridad de Validación no tiene acceso a la identidad de los titulares de los certificados que valida, reforzando, si cabe, la transparencia del sistema.

Con esta filosofía y junto al Ministerio de Administraciones Públicas, que presta servicios de validación al conjunto de las AAPP; y el Ministerio de Industria, Turismo y Comercio, enfocado a las empresas; la RCM-FNMT proporciona este servicio con carácter universal, es decir, a ciudadanos, empresas y AAPP.

Para cumplir con esta labor y si bien la política de Ceres contempla la apuesta siempre que sea posible del desarrollo propio de aplicaciones, fundamentalmente en J2EE, en esta ocasión optó por una solución de mercado que, además de dar respuesta, a los requerimientos de validación del eDNI, ha permitido a la RCM-FNMT incorporar los servicios de e-firma electrónica y validación de e-firma. Jérez señala que “para dar servicios de validación de DNI electrónico desarrollamos nuestro propio OCPS multi CA y en paralelo se adquirió la plataforma ASF (Advanced Signature Framework) de TB Solutions, con el fin de disponer de una doble tecnología basada en Web Services, pudiendo acabar finalmente el proyecto en la fecha prevista”. De esta forma, Ceres da cobertura a los distintos algoritmos del eDNI. El servicio de validación se presta desde ambos servicios, si bien por el momento uno está configurado para atender peticiones que utilicen el algoritmo (SHA-1) y el otro para peticiones que incluyan (SHA-2).

En este escenario, la plataforma de validación de certificados de Ceres resulta crítica puesto que antes de validar cualquier transacción es necesario comprobar el estado del certificado y asegurar que no está revocado ni expirado. Esta función se realiza utilizando CRLs (Listas de Certificados Revocados), en las que se almacena la información sobre los certificados electrónicos revocados o no vigentes. Sin embargo, la validación del DNI electrónico se realiza mediante OCSP (Online Certificate Status Protocol), un proceso que implica el envío por parte de un cliente OCSP de una petición sobre el estado del certificado a la Autoridad de Validación que, tras consultar su BBDD, ofrece respuesta vía http.

Movilidad y eAdministración

De cara al futuro y como indica Hernández, son dos las iniciativas estrella en las que trabaja Ceres: “la validación y certificación con dispositivos móviles y el proyecto de Certificado de Empleado Público”.
En el primer ámbito, los acuerdos de Ceres con las dos grandes empresas de telefonía móvil del país –Telefónica Vodafone– que han dado nacimiento a un SIM criptográfico que, con un certificado embebido, permite transaccionar con totales garantías.

Respecto al Certificado de Empleado Público, se trata de una iniciativa estrechamente ligada al cumplimiento de la Ley de Acceso de los Ciudadanos a los Servicios Públicos. “Hemos montado un entorno de PKI para la Administración Pública; este entorno constituye una herramienta de firma electrónica para los empleados públicos y un sistema de identificación de sedes electrónicas y que, junto al sellado de tiempo, resulta clave en el desarrollo de actuaciones automatizadas con ejemplos como el Boletín Oficial del Estado”, indica Hernández. Aunque se trata de un proyecto que todavía tiene mucho recorrido, el Certificado de Empleado Público “será utilizado en breve en el Ministerio de Economía y Hacienda, y existe una gran demanda a medio plazo”.

Discrepancia con el Informe del Grupo de Expertos

Deja un comentario

Recientemente he hecho referencia al Informe final del Grupo de Expertos en Factura Electrónica enfatizando algunas discrepancias que he detectado entre lo que es opinión mayoritaria en España (y en algunos paises europeos) y lo que refleja el propio Final Report of the Expert Group on e-Invoicing .

Hoy he tenido ocasón de comentarlo en Radio Líder, emisora que se escucha en toda Galicia.

Este es el trozo del programa «Entre nosotros» que dirige la periodista Ana Valiño, y que se ha interesado por este tema:

Los puntos claves son el «equal treatment«, la firma electrónica y el formato de la factura, que debería ser UBL ya que CII (el formato identificado por el Grupo de Expertos), como ya he comentado en otra ocasión, no está todavía listo.

España en el Top Ten de la Administración Electrónica

2 respuestas

Por un comentario de Ramiro Oliva me he enterado de esta estadística en la que España se situa entre los 10 mejores paises del mundo en implantación del eGovernment (eAdministración).

Y lo hace además, con el #1 en crecimiento pasando de la posición 20 a la 9.

En mi opinión no es que la mejora real sea tan grande. Lo que sucede es que ahora comunicamos mejor hacia Europa y hacia el mundo los logros que se van consiguiendo. Lo que indica que debemos seguir en esa linea de traducir al inglés los portales relevantes relacionados con la Sociedad de la Información.

Arquitectura normalizada de recepción de facturas electrónicas en la Administración General del Estado

Deja un comentario

El entorno de normalización de la factura electrónica en España parte de la Orden PRE/2971/2007 que definía el formato facturae y en cuya disposición final segunda se establecía su evolución en el plazo de dos años (que ya se han cumplido) al estándard UBL 2.0

Aunque aun no se ha publicado ninguna versión de facturae basada en UBL, sí que se han publicado otras versiones que resuelven algunos problemas detectados (y crean otros, ya que las versiones no son compatibles). Además de acoger extensiones sectoriales.

Con la publicación en el marco del Centro de Transferencia de Tecnología (CTT) de la arquitectura normalizada de recepción de facturas electrónicas en la Administración General del Estado se da un paso más en la disponibilidad de especificaciones técnicas para llevar a cabo la facturación electrónica al sector público.

La Comisión Permanente del Consejo Superior de Administración Electrónica (CSAE), en su reunión de 25 de marzo de 2009, acordó, a propuesta del Ministerio de Economía y Hacienda, la constitución de un grupo de trabajo sobre la arquitectura general de facturación electrónica en la Administración General del Estado. Este grupo surge dada la urgente necesidad de diseñar una arquitectura general de recepción de facturas electrónicas en el ámbito de la AGE para evitar la dispersión de esfuerzos y facilitar la implantación de la facturación electrónica. La coordinación de dicho grupo es encargada al propio Ministerio de Economía y Hacienda.

El objeto y alcance del grupo de trabajo se ha centrado en el análisis y elaboración de una propuesta de arquitectura general para la recepción de facturas electrónicas en la Administración General del Estado y organismos autónomos, y en la definición de las interfaces de las plataformas de facturación con los servicios de facturación de los proveedores, por un lado, con los sistemas de gestión económico-presupuestaria, por otro, y con los sistemas de registro electrónico, por último.

El Coordinador del grupo ha sido D. José María Sobrino, de la Intervención General de la Administración del Estado (IGAE) del Ministerio de Economía y Hacienda.

En el grupo de trabajo han participado representantes de 9 Ministerios (MPRE-Ministerio de la Presidencia, MEH-Ministerio de Economía y Hacienda, Ministerio de Justicia, Ministerio de Defensa, Ministerio del Interior, Ministerio de Fomento, MTIN-Ministerio de Tecnología e Innovación, MITyC-Ministerio de Industria, Turismo y Comercio y Ministerio de Cultura ) y de 7 entidades públicas (AEAT, INE, FNMT, Comisión Nacional de la Competencia, RED.es, Correos, Seguridad Social), con una media de asistencia a las reuniones de 23 personas.

Las conclusiones del grupo de trabajo y sus documentos se finalizaron el 25 de noviembre de 2009.

Objetivos

El objeto y alcance del grupo de trabajo se ha circunscrito a la arquitectura general para la facturación electrónica en la Administración General del Estado y organismos autónomos, siendo sus principales objetivos:

  1. Analisis de la conveniencia de plantear un punto general de entrada y distribución de facturas electrónicas (PGEFe) y, si se adopta la decisión de su conveniencia, establecer:
    • Las funciones del PGEFe.
    • Las necesidades adicionales para el enrutamiento automático de la factura
  2. Análisis de la posibilidad adicional de que el PGEFe pueda desempeñar la función de plataforma de emisión y recepción de facturas electrónicas para aquellos departamentos, centros gestores u organismos que optaran por no disponer de su propia plataforma.
  3. Normalización de las interfaces entre los sistemas de facturación de los proveedores y las plataformas de facturación electrónica de las entidades públicas (y, en su caso, el PGE-Fe).
  4. Normalización de las interfaces entre las plataformas de facturación electrónica (y, en su caso, el PGEFe) y los sistemas de registro electrónico de los departamentos.
  5. Normalización de las interfaces de comunicación entre las plataformas de facturación electrónica y los sistemas de gestión.

Ventajas

  • Se establecen unas interfaces puestas a disposición de los proveedores de plataformas de facturación y de sistemas de gestión económico- presupuestaria de modo que se facilita la implementación y gestión de la facturación electrónica.
  • Se apuesta por la creación de un punto general de entrada y distribución de facturas electrónicas (PGEFe).
  • El PGEFe puede actuar como punto general de entrada y distribución, y plataforma de emisión y recepción de facturas electrónicas para aquellos departamentos, centros gestores u organismos que optaran por no disponer de su propia plataforma.

Detalles técnicos

Estos son los Escenarios de la arquitectura e interfaces de facturación electrónica en la AGE

Escenario I: El organismo receptor de facturas dispone de su propia plataforma de recepción de facturas electrónicas y solicita al proveedor que le envíe directamente las facturas a dicha plataforma.

Escenario II: El organismo receptor de facturas dispone de su propia plataforma de recepción de facturas electrónicas, pero la recepción y consulta de estado de las facturas se realiza a través del punto único PGEFe.

Escenario III: El organismo receptor de facturas no dispone de su propia plataforma de recepción de facturas electrónicas. En este caso, se utiliza la Plataforma Central de Facturación AGE.

Restricciones para la recepción de facturas electrónicas en la AGE

  • Formato de recepción de facturas: Actualmente Facturae, en cualquiera de sus versiones publicadas (3.0, 3.1 y 3.2 en la actualidad).
  • Implícitamente, se limita también el formato de firma electrónica admitida según definición de Facturae:
    • Estándar XAdES (EPES o XL).
    • Política de firma Facturae (2 versiones publicadas hasta el momento: 3.0 y 3.1).
  • Los accesos a la plataforma de recepción de facturas AGE son siempre securizados (acceso vía certificado electrónico o usuario y contraseña).
  • No se admiten facturas por lotes ni envíos de arrays de facturas.

Interfaces

Interfaz proveedor con plataformas o PGEFe.

Dos mecanismos: Automático (servicios web alojados en las plataformas) o Manual (formularios web).

  • Recepción de facturas.
  • Consulta de facturas (por identificador de factura o por apunte registral).
  • Anulación de facturas.

Interfaz plataformas o PGEFe con Sistemas de Gestión.

Vía automática (servicios web alojados en los sistemas de gestión)

  • Alta de factura.
  • Consulta de estado de facturas.
  • Anulación de facturas.

Vía no automática (servicios web alojados en la plataforma de facturación).

  • Solicitud de relación de nuevas facturas.
  • Descarga de facturas.
  • Cambio de estado de facturas.

Vía manual (ver facturas disponibles; descarga de fichero facturae y actualización de estado de factura).

Asignación de código electrónico en la plataforma de facturación.

Interfaz plataformas o PGEFe con Registro órgano gestor o Registro Electrónico Común.

  • Registro.
  • Consulta de apuntes.

Safetypay ya opera en España

Deja un comentario

El sistema de pago por Internet ya está disponible para usuarios de banca en sitos de comercio electrónico asociados tanto españoles como del resto del mundo

Safetypay, el sistema de pagos seguro y global por Internet, ya ha comenzado a operar en España. Serán los casi 800.000 clientes de la banca on line de Ibercaja y los más de 365.000 de Caja Inmaculada (CAI) los primeros usuarios que podrán utilizar este medio de pago alternativo, tanto en las tiendas virtuales españolas asociadas a Safetypay, como en las del resto del mundo.

Este sistema de pago online ofrece importantes ventajas a clientes, comercios on line, e incluso a los propios bancos. Lo más importante para los usuarios es que para pagar con este método no es necesario dar ningún dato personal, ni tampoco el número de tarjeta en el momento de la adquisición, ya que se realiza a través de los servicios de los bancos asociados; esto evita el riesgo de fraude tanto para el comprador como para el comercio. Además el proceso es muy sencillo y rápido, lo que invita a los internautas a comprar online.

Julio García, Director General en España de Safetypay, destaca entre las ventajas de este sistema“la seguridad» y «la simplicidad de utilización», además de la utilización de la banca on line. Por otro lado, destaca sobre todo los beneficios de ser una red internacional, ya que «potencia la expansión de los comercios on line españoles en mercados extranjeros”. Esto significa que las tiendas españolas podrán realizar ventas a clientes de todo el mundo afiliados al sistema de pago.

Visto en Revista de Internet

La Comisión Nacional de la Competencia (CNC) opina sobre la gestión de derechos de autor en España

Deja un comentario

Visto en EL PAIS. Autores: R. MUÑOZ / A. FRAGUAS – Madrid – 20/01/2010

Competencia ataca el «monopolio» de la gestión de derechos de autor
Un informe exige liberalizar un sector controlado por ocho entidades

Un  informe hecho público ayer por la Comisión Nacional de la Competencia (CNC) sobre el carácter «monopolístico» de la gestión de derechos de autor en España supone un varapalo en toda regla al sistema puesto en pie por sociedades como SGAE, AISGE, VEGAP o CEDRO. El informe supone, además, una llamada de atención al Gobierno para que cambie de arriba abajo la ley de Propiedad Intelectual que regula esta materia.

Las conclusiones del estudio sobre el actual sistema que permite a autores y artistas cobrar por la explotación de sus obras a través de sociedades de gestión no dejan lugar a dudas: el actual modelo es «monopolístico», opaco y poco eficiente en su funcionamiento; aplica tarifas «discriminatorias» y obstaculiza la labor de sus usuarios y, en particular, de los que realizan su actividad en Internet.

El informe, no vinculante, llega además en el peor momento para las autoridades culturales, con la ministra Ángeles González-Sinde a la cabeza, que aún está apaciguando la revuelta digital por la polémica legislación contra las páginas webs de descargas no autorizadas que, desde otro plano, también pone en entredicho el actual sistema de derechos de autor.

El organismo encargado de vigilar la competencia recomienda, en primer lugar, que se liberalice este mercado, eliminando la obligación que tienen los autores de gestionar sus derechos de forma colectiva a través de las ocho sociedades de gestión que están autorizadas en España (SGAE, DAMA, CEDRO, VEGAP, AGEDI, EGEDA, AIE, y AISGE). La SGAE es, con diferencia, la mayor entidad con unos ingresos de 334 millones de euros en 2008.

Para ello sería preciso anular el sistema de autorizaciones administrativas que deja en manos del Gobierno (Ministerio de Cultura) la decisión sobre qué sociedades pueden gestionar derechos y cuáles no, dejándolo en un simple registro que abriría la puerta a cualquier entidad.

En aras de esa liberalización, se pide también que se elimine la necesidad de que las sociedades de gestión sean entidades sin ánimo de lucro, permitiendo que adopten cualquier fórmula jurídica, como una sociedad anónima.

El informe, realizado por iniciativa propia, pide una «revisión integral» de la Ley de Propiedad Intelectual pero señala que mientras persista «la posición monopolística», al menos se adopten medidas paliativas como eliminar la exclusividad de los contratos de los autores con las entidades de gestión, de forma que un mismo titular pueda gestionar sus derechos con varias a la vez.

La CNC, dependiente del Ministerio de Economía, hace suyas las críticas sobre la falta de transparencia en las tarifas que aplican las gestoras, el repertorio que tutelan y la manera de distribuir los ingresos entre sus socios, y pide que se establezcan tarifas fijas reguladas a las que deberían ajustarse las entidades.

La CNC pone el dedo acusador en el sistema «monopolístico» de las sociedades de gestión que «reduce sus incentivos a operar de modo eficiente, facilita el establecimiento de tarifas discriminatorias por la utilización de los repertorios y obstaculiza las actividades que realizan los usuarios, tanto los que operan en mercados tradicionales como los que explotan obras y prestaciones en el entorno online».

El informe puede servir de guión para futuras denuncias contra las sociedades de gestión, pero siempre bajo el corsé que marca la Ley de Propiedad Intelectual. De ahí la insistencia de la CNC en pedir que se modifique la ley, y que se otorguen más competencias a la Comisión de Propiedad Intelectual.

Las sociedades de gestión tienen ya un historial de expedientes por vulnerar la libre competencia. En julio pasado, la CNC multó con 770.000 euros a la entidad Artistas, Intérpretes y Ejecutantes (AIE) por cobrar a Telecinco unas tarifas generales «inequitativas y discriminatorias». En diciembre de 2008, y a instancias de Sogecable, la CNC penalizó a las entidades AGEDI (Asociación de Gestión de Derechos Intelectuales) y AIE con sendas multas de 815.000 y de 615.000 euros, respectivamente, por «posible abuso de su posición de dominio».

Información complementaria: Mapa de la protección de los creadores en España

Existen ocho entidades de gestión de derechos autorizadas por el Ministerio de Cultura. Dos de ellas están asociadas.

  • SGAE. Con más de 100 años, representa a unos 90.000 socios: cineastas, compositores, coreógrafos o mimos. Controla la difusión de obras en radios, bares, salones de bodas…
  • CEDRO. El Centro Español de Derechos Reprográficos defiende los intereses de autores y editores de libros y otras publicaciones. Tiene más de 170.000 socios.
  • VEGAP. Creada en 1990 con el nombre de «Visual Entidad de Gestión de Artistas Plásticos» actúa en nombre de más de 47.800 creadores visuales.
  • DAMA. Derechos de Autor de Medios Audiovisuales gestiona desde 1999 los intereses de 400 socios, autores o dueños de obras audiovisuales y cinematográficas.
  • AGEDI-AIE. Dos entidades separadas, comparten un órgano de recaudación del dinero generado por los productores fonográficos (AGEDI) e intérpretes de obras musicales (AIE).
  • AISGE. Presidida por la actriz Pilar Bardem, esta entidad denominada «Artistas Intérpretes, Sociedad de Gestión» administra los derechos que generan las interpretaciones «fijadas sobre un soporte audiovisual» de actores, dobladores, bailarines y directores de escena.
  • EGEDA. La entidad de gestión que representa a los productores audiovisuales comenzó a operar en 1993 y recauda dinero por la emisión y transmisión de cualquier obra al público en salas de cine, transportes, bares y hoteles, entre otros.