La banca pacta un nuevo sistema centralizado para frenar el fraude

1 respuesta

Las estafas crecen un 20% al año y ya provocan pérdidas de 110 millones.

Un tipo que logra suplantar la personalidad de un cliente desviando dinero de su cuenta o usando su tarjeta de crédito, otro que solicita préstamos en distintas entidades en varios puntos del país con datos falsos, un tercero que hace creer en Internet que su página web es la de determinada caja de ahorros… Morosos e impostores logran timar cada año a las entidades financieras y a sus clientes en torno a 110 millones de euros al año. Y el problema crece a un ritmo del 20% anual. Internet y la banca telefónica multiplican además las posibilidades

Para intentar frenar el problema, el Centro de Cooperación Interbancaria (CCI), la asociación que agrupa a más de 200 bancos y cajas de toda España, está promoviendo el proyecto llamado Servicio de Prevención del Fraude. El grupo Santander, el BBVA, el Banco Popular, Bankinter, el Banco Pastor, el Banco Gallego, el Banco de Finanzas e Inversiones y la Caja de Ahorros del Mediterráneo han acordado ya su implantación, según ha podido saber EL MUNDO.

El proyecto, que será presentado en las próximas semanas al Ministerio del Interior y que puede arrancar este mismo año, está encabezado con la creación del llamado Centro de Observación del Delito Económico. «Se trata de un equipo profesional contratado, formado por expertos en la lucha contra el fraude», según afirma Rafael Marín, director de Administración del CCI.

El Code se encargará de vigilar la red y difundir alertas tempranas de nuevos fraudes para prevenir a los asociados del CCI, a sus clientes y al público en general. Se convertirá en un centro de estudio del delito en España, capaz de colaborar con las fuerzas de seguridad y en la formación del personal bancario.

Y, sobre todo, el proyecto prevé la creación de tres bases de datos con un sistema centralizado. «Hasta ahora, cada entidad se defiende como puede del fraude, pero uniendo fuerzas en un sistema que proporcione alertas a todos los bancos y cajas se puede ser mucho más eficaz», afirman los promotores.

Intentos. El fichero de Solicitudes y Operaciones Registradas (SOR) almacenará los datos de fraudes conocidos que han afectado a los usuarios en algún momento. Las entidades que lo han sufrido alimentarán esta base con sus datos y utilizarán herramientas automáticas de análisis de solicitudes.

DNI robado. El Servicio de Actualización de Datos Personales (SADP) integrará en una base de datos los datos de personas físicas y jurídicas que se quieran incluir voluntariamente en un fichero de vigilancia. Personas que han perdido su documentación o que han sufrido un robo pueden darse de alta. Si alguien pretende realizar una operación financiera con sus datos serán avisados en tiempo real. «Por ejemplo, se les enviará un mensaje a su móvil de que alguien intenta algo con sus cuentas en ese momento», explica Marín.

Incoherencias. La base de datos de información de solicitudes (SOL) comparará posibles incoherencias. Si una misma persona pide un préstamo en BBVA alegando que gana 50.000 euros y al día siguiente solicita otro en el Santander asegurando que su sueldo son 55.000, será descubierto. «Ningún banco sabrá a qué otra entidad se ha dirigido, pero sí que esa persona está dando datos incoherentes en otras oficinas», resume Marín.

Intimidad. Los promotores aseguran que el proyecto no va a poner en peligro la intimidad de los usuarios, «al contrario, se van a ver más protegidos». El CCI ha mantenido reuniones con la Agencia de Protección de Datos y el Banco de España y, de acuerdo con Interior, será explicado a las fuerzas y cuerpos de seguridad del Estado.

La tentación vive en la casa de al lado
Un ejemplo de fraude que los promotores del proyecto creen que podrán atajar es el del vecino defraudador. Se trata de un caso real que sucedió en Reino Unido y que fue neutralizado por un sistema de alerta temprana similar al que la banca española quiere introducir ahora en el país.

Un ciudadano que preparaba un cambio de vivienda cedió la llave a su vecino durante un tiempo y le pidió que le recogiera su correspondencia.

El vecino no resistió la tentación de abrir las cartas del banco y, al ver la existencia de fondos y cuentas, decidió hacer fortuna.Se hizo con claves que encontró en la vivienda y utilizó el servicio de banca telefónica de la entidad financiera. Siguió los pasos correctamente para desviar fondos a sus cuentas, pero cometió un error. No supo responder a una pregunta del banco sobre la fecha de nacimiento del cliente y colgó.

La equivocación bastó para que saltara una alerta en el sistema y que una investigación de la procedencia de la llamada, puesta posteriormente en conocimiento de la policía, sirvieran para descubrir todo el pastel.

El proyecto que impulsa el CCI no afecta al ya existente Registro de Aceptaciones Impagadas (RAI).

El RAI es el fichero utilizado por los bancos para ver si una empresa ha devuelto letras o pagarés; es propiedad del CCI y sólo se puede acceder caso a caso y tras consultar un informe.

Fuente: El Mundo
13.03.06

Noticias relacionadas:

Seguridad

1 respuesta

Bloggers prestigiosos como Enrique Dans dedican comentarios a la Seguridad y ratifican el interés general en una disciplina que nos parece esencial a los que nos dedicamos a ella. También nos parece que no es suficientemente valorada.

Además me ha permitido descubrir el Blog de Fernando Aparicio, al que conozco desde hace años y con quien también he compartido cursos y seminarios en el Instituto de Empresa.

Veo que Fernando empezó su Blog más o menos al mismo tiempo que yo empecé el mío y que tenemos muchos puntos en común, de modo que espero hacer referencia a sus comentarios entre los que ya he visto algunos temas interesantes como la referencia a una Sentencia que llamó la atención hace unos días y que comenté en el Foro de las Evidencias Electrónicas.

Voto electrónico en Juntas de Accionistas

4 respuestas

Después de referirme en el Post anterior a los prestadores de servicios de certificación y a Innovoto, he pensado que conviene comentar alguna cosa más sobre este tema, ya que recibo muchas consultas y percibo mucha desorientación.

Al organizar una Junta General, hay que prever el mecanismos para votar a distancia y delegar. Hay que pensar los medios con los que contarán los accionistas, y su procedencia (especialmente las empresas que cotizan en mercados internacionales).

El voto a distancia debe ser compatible con la celebración presencial de la Junta, lo que sigue siendo obligatorio (no se puede convocar una junta virtual: hay que indicar el lugar de la celebración).

Las reglas de limitación de voto, requisitos de quorum, número mínimo de votos en determinadas propuestas, implican considerar el voto a distancia como voto presente en la Junta.

Los votos recibidos pueden estar firmado con cualquier certificado, lo que implica ser capaces de verificar la validez de cualquier certificado, especialmente de los certificados "cualiicados" o "reconocidos".

Al coordinar con Iberclear y con las entidades depositarias es conveniente determinar el sistema de codificación de la tarjeta de asistencia, para permitir su empleo de forma electrónica.

En la convocatoria deben quedar claras las precedencias (voto-delegación, a distancia-presencial) así como los plazos de cada fase de gestión de la junta (convocatoria y definición inicial de puntos en el orden del día, petición por grupos de accionistas de introducción de puntos en el orden del día, publicación del orden del día definitivo, apertura de la urna virtual, cierre de la urna virtual, publicación de estadísticas de voto electrónico, consolidación del voto presencial y a distancia).

En caso de que se tenga constancia de que existen cadenas de representación fiduciaria (por ejemplo cuando las acciones se pueden contratar en diferentes paises, y los registros de Iberclear no reflejan al accionista final sino a alguno de los intermediarios), es conveniente disponer de sistemas que permitan asignar rangos de números de acciones del representante fiduciario, a favor de los representados fideicomitentes, de forma que estos puedan ejercer sus derechos de voto y delegación. El sistema también debe ser capaz de gestionar sistemas de gestión de representación para los accionistas que prefieran que sean especialistas los que en su nombre voten los puntos según sus intereses. 

Aunque el tema tiene cierta complejidad, a dia de hoy, la forma de organizar una junta que tenga en cuenta la participación a distancia de los accionistas está bastante clara. Por eso no se entienden esas convocatorias de juntas (copiadas unas de otras) que no saben ni identificar correctamente los tipos de certificados electrónicos que se pueden utilizar.

 Hay que reconocer que la conflictidad societaria (de los accionistas minoritarios) es muy baja en España, porque hay motivos de sobra para poder impugnar  algunas Juntas, según se aprecia de la redacción de las convocatoras.

 

 

 

 

Prestadores de Servicios de Certificación

7 respuestas

Ahora que el DNI electrónico está volviendo a poner de moda la firma electrónica y la certificación digital, merece la pena hacer un pequeño censo de prestadores de servicios de certificación. Así, pasados unos años, podremos valorar si la aparición del DNI electrónico fue positiva o negativa para el sector.

Respecto a Europa, la fuente principal de información es el repositorio de prestadores de servicios de certificación, regulado por el artículo 11 de la Directiva 1999/93/CE de Firma Electrónica. Los paises que figuran a dia de hoy (los que han enviado información a la Comisión sobre el despliegue de la Directiva) son los siguientes:

  • Suercia
  • Finlandia
  • Bélgica
  • Reino Unido
  • Alemania
  • Austria
  • Dinamarca
  • Francia
  • Holanda
  • Italia
  • República Checa

De los paises mencionados, Italia es el que destaca por el número de PSC acreditados.

En España, la fuente principal es el Censo de Prestadores de la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Comercio y Turismo. Este organismo mantiene la responsabilidad de supervisión del sector de la Certificación definida en la Ley 59/2003 de Firma Electrónica. En estos momentos, los PSC (Prestadores de Servicios de Certificación) que han presentado la documentación (y su revisión está finalizada o en curso) son los siguientes:

  • ANF-AC
  • CERES
  • CAMERFIRMA
  • FIRMAPROFESIONAL
  • ACCV
  • AC ABOGACÍA
  • CICCP
  • ANCERT- Agencia Notarial de Certificación
  • BANESTO
  • IZENPE
  • CATCERT
  • IPSCA
  • TELEFONICA DATA ESPAÑA S.A.
  • SERVICIO DE CERTIFICACIÓN DE LOS REGISTRADORES (SCR)

De estos prestadores, muy pocos están presentes en los principales navegadores.

Hay un completo análisis de prestadores de servicios de certificación que se incluyen en los navegadores en el sitio web de Innovoto.

Desde el punto de vista de Innovoto, es decir, del voto electrónico a distancia en Juntas Generales de Accionistas y otros órganos participativos, lo que importa es utilizar certificados reconocidos o cualificados, cuando el accionista sea español o esté en España, de forma que se dé cumplimiento a la Ley 59/2003, pero permitir de forma expresa que puedan utilizar certificados de otros prestadores que, aun no cumpliendo de forma expresa la Directiva 93/1999, permitan suponer una diligente actuación en la prestación de los servicios.

Además de todos estos listados de PSC, merece la pena referirse a dos más.

Como podeis ver, desde el punto de vista del titular, no es nada sencillo detectar qué PSC emiten los certificados más adecuados para una aplicación dada, pero podemos conjeturar que «cualquiera».

Desde el punto de vista del tercero que confía en el certificado, la entidad que desarrolla aplicaciones en las que se pueda usar la firma electrónica el dilema es más sencillo de resolver: hay que aceptar «todos». 

Actualización (18.10.2009)

He actualizado los enlaces porque los originales se han vuelto obsoletos:

Especificación AEAT para consulta de certificados revocados (YCAESTEC)

1 respuesta

En el marco de la normativa de la AEAT sobre aceptación de certificados electrónicos, la agencia ha definido un protocolo muy sencillo (denominado ycaestec por ser el nombre de la página html en la que se describe).

La Y no se de donde sale, aunque es la misma letra con la que comienza YCAREQUI, la descripción de requisitos de los certificados que acepta la AEAT (CAREQUI puede significar Requisitos para las CA), de modo que YCAESTEC puede significar Especificaciones Técnicas de las CA.

Especificaciones técnicas del servicio Web de actualización de certificados revocados

El servicio deberá estar basado en el protocolo SOAP 1.0. La A.E.A.T. accederá a este servicio como cliente solicitando los certificados revocados a partir de una fecha y hora. La autoridad de certificación devolverá una lista con los certificados revocados o el código que indique que no se han producido revocaciones desde la fecha y hora solicitada.

Descripción del servicio.

Nombre

El nombre del servicio será serPubCR (Servicio Público de Certificados Revocados).

Tipos

Se define un nuevo tipo, ArrayOfArrayOf_xsd_string, fuera de los definidos en la especificación de XML Schema, que SOAP adopta. Este tipo será un array de cadenas de dos dimensiones (xsd:Array[][]) la primera dimensión contendrá la fecha de revocación (Formato ISO-8601 con las restricciones de W3C descritas en http://www.w3.org/TR/NOTE-datetime y la granularidad 6 (fecha completa con horas, minutos, segundos y décimas de segundo, e.g 2003-05-15T23:11:32.45) y la segunda contendrá el número de serie del certificado revocado (Este número de serie se expresará en notación hexadecimal, no debiendo superar los 32 caracteres hexadecimales). El array deberá contener al final del mismo la cadena «FINAL» en las dos dimensiones.

Este tipo se utiliza en el mensaje de respuesta de la operación desdeFecha del servicio.

Mensajes

Estructura del mensaje de petición:

  • Nombre, desdeFechaRequest: Obtención de los certificados revocados a partir de una fecha, con dos parámetros:
    • In0 (xsd:string) : Autoridad de certificación a la que se envía el mensaje.
    • In1 (xsd:dateTime) : Fecha y hora a partir de la cual se desean los certificados revocados. Formato ISO-8601 con las restricciones de W3C descritas en http://www.w3.org/TR/NOTE-datetime y la granularidad 6 (fecha completa con horas, minutos, segundos y décimas de segundo, e.g 2003-05-15T23:11:32.45)

Estructura del mensaje de respuesta

  • Nombre, desdeFechaResponse: Consta de dos campos, uno con el nombre de la AC que emite la respuesta y otro con la lista de certificados revocados según el tipo ArrayOfArrayOf_xsd_string definido anteriormente.
    • Out0 (xsd:String) : Autoridad de certificación que devuelve la respuesta.
    • Out1 (ArrayOfArrayOf_xsd_string) : Lista de los certificados revocados desde la fecha y hora indicada en el mensaje de petición.

Operaciones

Este servicio se compone de una única operación.

  • Nombre desdeFecha: que se compone de los dos mensajes siguientes:
    • Mensaje de petición: desdeFechaRequest
    • Mensaje de respuesta: desdeFechaResponse

Enlaces

Todas las operaciones utilizarán el formato RPC de SOAP. El cuerpo (body) de la petición SOAP deberá incluir un elemento que indique el tipo de función (operación) a ejecutar y otros elementos para los parámetros de la función. Las respuestas a su vez deberán tener un elemento que emule la función de petición e incluya los valores de retorno. A su vez el mensaje SOAP se encapsulará en un mensaje HTTPS

Todas las operaciones tendrán como espacio de nombres ‘urn:dit:soapservices:serPubCR’ y utilizará la codificación SOAP http://schemas.xmlsoap.org/soap/encoding para llamadas remotas a procedimientos (RPC).

Ejemplos de mensajes SOAP

Mensaje de petición

<?xml version="1.0" encoding="IS0-8859-1"?>
<SOAP-ENV:Envelope
	xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body>
	<ns1:desdeFecha xmlns:ns1="urn:dit:soapservices:serPubCR"
		xmlns:ns2="http://schemas.xmlsoap.org/soap/encoding/"
		SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
		<in0 xsi:type="xsd:string">CAGVA</in0>
		<in1 xsi:type="xsd:date">2003-05-15T23:00:03.23</in1>
	</ns1:desdeFecha>
</SOAP-ENV:Body>
</SOAP-env:Envelope>

Mensaje de respuesta

(Respuesta correcta)

<?xml version="1.0" encoding="ISO-8859-1"?>
<SOAP-ENV:Envelope
	xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body>
	<ns1:desdeFechaResponse xmlns:ns1="urn:dit:soapservices:serPubCR"
		SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
	<return>
	<out0 xsi:type="soapenc:String>CAGVA</out0>
	<out1 xsi:type="soapenc:Array"
		soapenc:arrayType="xsd:string[][193]"
		xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/">
		<item soapenc:arrayType="xsd:string[2]">
			<item>
			2003-06-16T09:29:27.00
			</item>
			<item>
			25B20688E
			</item>
		</item>
		<item soapenc:arrayType="xsd:string[2]">
			<item>
			2003-06-23T09:29:27.00
			</item>
			<item>
			25B206890
			</item>
		</item>
               .
               .
               .
		<item soapenc:arrayType="xsd:string[2]">
			<item>
			FINAL
			</item>
			<item>
			FINAL
			</item>
		</item>
	</out1>
	</return>
	</ns1:desdeFechaResponse>
</SOAP-ENV:Body>
</SOAP-env:Envelope>

(Respuesta errónea)

<?xml version="1.0" encoding="ISO-8859-1"?>
<SOAP-ENV:Envelope
	xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body>
	<SOAP-ENV:Fault>
		<faultcode xsi:type="xsd:string">SOAP-ENV:Client</faultcode>
		<faultstring xsi:type="xsd:string>
			Error en el formato de la fecha. Formato válido 
			ISO-8601
		</faultstring>
	</SOAP-ENV:Fault>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>

NOTAS

1.- Documento WSDL de descripción del servicio SOAP.

<?xml version="1.0" encoding="UTF-8"?>
<wsdl:definitions targetNameSpace="urn:dit:soapservices:serPubCR"
	xmlns:impl="urn:dit:soapservices:serPubCR"
	xmlns:soapenc="http://schemas.xmlsoap.org/soap/soapencoding/"
	xmlns:wsdlsoap="http://schemas.xmlsoap.org/wdslsoap/"
	xmlns:xsd="http://www.w3.org/2001/XMLSchema"
	xmlns="http://schemas.xmlsoap.org/wsdl/">

<wsdl:types>
	<schema xmlns="http://www.w3.org/2001/XMLSchema/"
		targetNameSpace="urn:dit:soapservices:serPubCR">
		<import namespace="http://schemas.xmlsoap.org/soap/encoding/" />
		<complexType name="ArrayOfArrayOf_xsd_string">
			<complexContent>
				<restriction base="soapenc:Array">
					<attribute ref="soapenc:arrayType" wsdl:arrayType="xsd:string[][]" />
				</restriction>
			</complexContent>
		</complexType>
	</schema>
</wsdl:types>

<wsdl:message name="desdeFechaRequest" >
	<wsdl:part name="in0" type="xsd:string" />
	<wsdl:part name="in1" type="xsd:dateTime" />
</wsdl:message>
<wsdl:message name="desdeFechaResponse">
	<wsdl:part name="out0" type="xsd:string" />
	<wsdl:part name="out1" type="impl:ArrayOfArrayOf_xsd_string" />
</wsdl:message>

<wsdl:portType name="desdeFecha_servPubCR">
	<operation name="desdeFecha">
		<input name="desdeFechaRequest" message="impl:desdeFechaRequest" />
		<output name="desdeFechaResponse" message="impl:desdeFechaResponse" />
	</operation>
</wsdl:portType>

<wsdl:binding name="serPubCR_Bind" type="impl:desdeFecha_servPubCR">
	<wdslsoap:binding stype="rpc"  transport="http://schemas.xmlsoap.org/soap/https" />
	<wsdl:operation name="desdeFecha" soapAction="">
		<wsdl:input name="desdeFechaRequest">
			<wsdlsoap:body use="encoded" 
				encodingStyle="http://schemas.xlsoap.org/soap/encoding/"
				namespace="urn:dit:soapservices:serPubCR" />
		</wsdl:input>
		<wsdl:output name="desdeFechaResponse">
			<wsdlsoap:body use="encoded" 
				encodingStyle="http://schemas.xlsoap.org/soap/encoding/"
				namespace="urn:dit:soapservices:serPubCR" />
		</wsdl:output>
	</wsdl:operation>
</wsdl:binding>

<wsdl:service name="serPubCR">
	<wsdl:port name="desdeFecha_servPubCR"
		binding="impl:serPubCR_Bind">
		<wsdlsoap:address
			localtion="http://..../.../.../serPubCR" />
	</wsdl:port>
</wsdl:service>

</wsdl:definitions>

2.- Cabecera SOAPAction

No deberá ser obligatoria y si se utiliza, podrá ir a blanco.

Lectores de tarjeta chip para el DNI electrónico

1 respuesta

Cuando uno ya tiene su flamante DNI electrónico, llega el momento de utilizarlo.

¿Qué hay que hacer ahora? Las 3 reglas.

Regla número 1: memorizar el PIN y guardar el papelito en casa en la caja fuerte (o en el calcetín).

Regla número 2: preparar un ordenador con la infraestructura adecuada. Para ello necesitamos un lector de tarjeta chip.

Además de enchufar el dispositivo, necesitamos instalar su software, y también el software del DNI.

Regla número 3: Obtener un software de firma electrónica. Camerfirma ofrece uno gratuito. Una versión menos reciente de su software está disponible aquí. (en esta versión por un bug en la instalacion es necesario ejecutar:
inicio –> ejecutar –> regsvr32 «C:\Archivos de programa\camerfirma\desktopfirma\capicom.dll»)

La «Regla número 3» es un amplio mundo de posibillidades de firma electrónica. Se puede firmar con Adobe Acrobat, con las versiones más modernas de Office, y con muchas aplicaciones web de las administraciones públicas.

Lo que sí es cierto es que conviene perder el miedo a firmar electrónicamente.

Avalancha de noticias sobre el DNI electrónico

Deja un comentario

Estos días se suceden las noticias sobre DNI electrónico.

No es para menos, porque se han desatado montones de espectativas que reactivarán el sector de la seguridad.

Yo estoy encantado, porque en cierto modo me siento un pionero de lo que ahora está pasando.

Incluyo algunas de las referencias más interesantes:

Debate en Kriptópolis
Foro sobre el DNI en kriptópolis
Especial sobre DNI electrónico en en el Blog Xataka
Artículos en Tecnicalia
Blog de Javier Prenafeta
Blog de Felipe Alfaro
Animación en «El Pais»
Blog con Video sobre el DNI

Concepto de Autoridad

5 respuestas

Recuerdo de la época en la que estaba en FESTE que uno de los motivos por los que decidimos no utilizar el término «Autoridad de Certificación«, a pesar de su caracter de término «acuñado», es que en España el concepto de Autoridad, recogido en las leyes es muy claro y completamente distinto del significado del término empleado en entornos técnicos.

Por ejemplo, en entornos técnicos es habitual referirse a que un determinado DNS ostenta la autoridad en la definición de la resolución de un dominio, en relación con otros que solo conservan en cache el dato del dominio cuando son interrogados.

En nuestro entorno jurídico, AUTORIDAD es un concepto que se asocia a determinados cargos del Gobierno y de la Administración, y AGENTE DE LA AUTORIDAD es un concepto que se asocia a las personas encargadas de hacer efectiva la aplicación de determinados preceptos legales.

El artículo 24 del Código Penal señala:

1. A los efectos penales se reputará autoridad al que por sí solo o como miembro de alguna corporación, tribunal u órgano colegiado tenga mando o ejerza jurisdicción propia. En todo caso, tendrán la consideración de autoridad los miembros del Congreso de los Diputados, del Senado, de las Asambleas Legislativas de las Comunidades Autónomas y del Parlamento Europeo. Se reputará también autoridad a los funcionarios del Ministerio Fiscal.

2. Se considerará funcionario público todo el que por disposición inmediata de la Ley o por elección o por nombramiento de autoridad competente participe en el ejercicio de funciones públicas.

Por otro lado, agente de la autoridad se define como el funcionario de hecho o de derecho que tiene como misión ejecutar las decisiones y mandatos de la autoridad.

En España hemos preferido utilizar el término ENTIDAD de CERTIFICACIÓN que, desde que lo empleamos en FESTE, ha tenido un amplio uso de forma intercambiable con «Autoridad de Certificación». Además ENTIDAD de REGISTRO puede utilizarse de forma ventajosa frente a «Autoridad de Registro».

Redacté un artículo en aquella época que todavía está disponible en el web de AUI (Asociación de Usuarios de Internet) con el título Como conectar un Servidor de forma segura a Internet en el que se aprecia como intento evitar el término «Autoridad de Certificación».

Sorprende que en la DPC del DNI-e no se hayan evitado los términos «Autoridad de …», precisamente en un entorno en el que tan claramente se percibe qué es Autoridad y Agente de la Autoridad. Convendría que los excelente juristas del Ministerio del Interior repasaran la DPC e identificaran «gazapos» como los mencionados.

La gestión documental, clave para garantizar la supervivencia de las organizaciones

2 respuestas

Hace unos dias, Indra, Vignette y Sun Microsystems han celebrado en Madrid unas Jornadas sobre Gestión Documental en las que los principales expertos españoles han coincidido en señalar su importancia de cara a mejorar la eficiencia de las organizaciones y de facilitar su supervivencia ante posibles contingencias como accidentes, incendios o ataques terroristas, y a la que me han invitado. Recojo las conclusiones distribuidas tras el evento.

La gestión documental pretende el tratamiento integral, consistente y fiable de los documentos y la información que se genera en las transacciones y procesos de negocio. A lo largo del seminario se han abordado aspectos estratégicos, metodológicos y tecnológicos sobre la cuestión y su creciente importancia en los planes estratégicos de las grandes organizaciones, tanto públicas como privadas.

Desde un enfoque muy práctico se han analizado diversos temas, entre los que se encuentran los aspectos legales y los relacionados con la necesidad de transparencia corporativa; las normas internacionales sobre esta materia que AENOR está adoptando como normas UNE; la presentación de una solución de tramitación electrónica y gestión documental; y posibles integraciones con otras soluciones y proyectos de administración electrónica (portal del tramitador, historia clínica única, etc).

Gestión eficaz

El director de Preventa para el Sur de Europa de Vignette, Javier Iglesias, explicó que para que una organización pueda realizar una gestión eficiente de sus recursos y documentos debe definir primero los requisitos y luego elegir las herramientas más adecuadas.

Iglesias presentó la solución de tramitación electrónica de Vignette, que facilita la captura de información procedente de distintas fuentes, la gestión de documentos y expedientes, la automatización de procesos y la gestión de procesos.

Alicia Baglietto, experta en Gestión Documental del Centro de Soluciones ECM de Indra, señaló que el reto de la gestión documental es buscar soluciones «funcionales y tecnológicas que garanticen su fiabilidad e integridad, a la vez que un acceso seguro».

Además, indicó que la gestión documental presenta grandes oportunidades para las organizaciones. En esta línea, Segundo Heredia, Responsable de Proyectos del Centro de Soluciones ECM de Indra, insistió en que la gestión documental es una función clave que debe estar «alineada con la estrategia y los objetivos de negocio, orientada a los procesos sobre los que se desarrolla la estrategia e integrada con los sistemas de información y gestión que dan soporte a estos procesos».

Heredia destacó que un factor clave para el éxito es la implementación «de arriba a abajo» o en sentido descendente de la gestión documental. Es decir, hay que evitar que el desarrollo de la gestión documental esté conducida por tecnologías o fabricantes concretos, e insistió en la importancia de que el sistema documental esté perfectamente integrado con otros sistemas de información relacionados.

Crecimiento monstruoso

Según explicó Cristóbal Valero, especialista en venta dentro del Data Management Group de Sun Microsystems Ibérica, «a medida que crece un repositorio de datos, los riesgos son cada vez mayores. Cada segundo el mundo genera 390 gigabytes de nuevos datos, lo que significa que el volumen de nuevos datos crece a un ritmo anual del 47%, sumándose a los 30.000 millones de gigabites de datos digitales almacenados que ya existen en la actualidad».

«Si somos conscientes de que cerca del 80% de estos datos deberán archivarse de forma permanente, no podemos olvidar que la necesidad de que los nuevos sistemas documentales garanticen la seguridad y privacidad de los datos es algo crítico y fundamental», añadió.

Por su parte, Julián Inza, presidente de Albalia Interactiva, señaló que el papel irá desapareciendo paulatinamente de los usos convencionales en la empresa y la Administración, y resaltó la necesidad de que los nuevos documentos electrónicos tengan «el mismo valor probatorio que los de papel» y que se garantice que los formatos en los que se almacenan los contenidos «sean legibles en el futuro». Asimismo, insistió en la relevancia que tiene en todos estos procesos una herramienta como la firma electrónica.

Carlota Bustelo, de Inforárea, recordó que las organizaciones a lo largo de la historia han necesitado dejar constancia de su actividad, pero que en la actual Sociedad de la Información ya no bastan las soluciones tradicionales sino que se precisan planes corporativos de gestión de documentos que respondan a una concepción global y a una implantación por fases.

Los planes de gestión de documentos se deben soportar en herramientas informáticas de gestión de documentos con sus adecuados sistemas de almacenamiento y políticas de conservación y migración de los documentos electrónicos, sin olvidar las indispensables relaciones con las aplicaciones corporativas de datos.

La importancia de la cadena de custodia

1 respuesta

Estos dias este tema es de actualidad porque un periódico ha cuestionado el valor de una prueba esencial «pieza de convicción» en la investigación del 11-M, por la forma en la que se incorporó a ella, supuestamente de forma extemporánea.

Sin entrar en la controversia, sobre la que mi opinión es «a priori» a favor del experimentado método con que actúa la policía, me parece muy valioso que este tipo de cuestiones se debata porque ayuda a darle valor a las actuaciones metódicas con las que actuamos peritos y forenses para preservar los hallazgos que obtenemos y que deben ser aportados a juicios o negociaciones.

Y aunque parece intuitivamente claro que debe evitarse cualquier manipulación de las pruebas físicas y el efecto de las posibles manipulaciones, el asunto no está tan claro en el caso de las «evidencias electrónicas»