Certified Digitization or Certified Scanning

1 respuesta

Certified-ScanningThe possibility to scan paper documents in a way that guarantees the exact image of paper original  and allows to discard it appeared in 2007 in Spain, after Order EHA 962/2007 was published.

At that moment only tax related documents were allowed to be scanned using this option. To perform the scanning, a special kind of software named «Certified Scanning Software» was needed.

The following are the requirements that the «Certified Scanning Software» must fulfill to guarantee that the digitized image is a good representation of paper original:

  • The digitization process should be carried out automatically in its entirety, from the moment the system take the picture till the final file including the electronic signature is generated and stored.
  • The possible image optimization process guarantees that all fields and data in the document are perfectly legible and valid for its management. Digital image must respect the original geometry of the document in paper format.
  • The software generates metadata information (in XMP format) in every file with the digitized image including identification reference of the approval granted by the Tax Agency and a timestamp, as well as the name and the version number of the scanning software.
  • The software should register the digitization process in a special database which links the image files with additional information (described in article 64 of Royal Decree 1624/1992) and includes security features to behave as an «append only log» inluding electronic signatures for every accounting period (usually, monthly or quaterly)

Two documents are to be provided for the homologation: «Technical Description» and «Quality Management Manual «. Users are mandated to comply with the usage rules set forth in the «Software Quality Management Manual »

Other requirements, are:

  • Minimun  resolution of 200 ppi.
  • A limited list of file formats are allowed: ISO 19005 (PDF / A); PNG; JPEG 2000; PDF 5.0 or higher; TIFF 6.0 or higher. (only lossless compression algorithms are allowed, such as LZW)
  • The management and storage system of the digitized documents, must guarantee access and full search of the digitized documents for audit purposes

More information:

Contact EADTrust at +34917160555 if you need ore information.

Confusión en torno a los dispositivos cualificados de creación de firma y sello electrónicos

2 respuestas

He detectado un error difundido entre especialistas en firma electrónica y certificación en relación con los requisitos que existen en el marco del EIDAS (Reglamento UE 91/2014) para que un dispositivo de creación de sello electrónico o de firma electrónica tenga la consideración de cualificado.

El error probablemente procede de una respuesta a preguntas frecuentes publicada en la página web de la Secretaría de Estado de Avance Digital, Organismo Supervisor del sector de los servicios de confianza y de la certificación.

La pregunta es:

¿Qué es un dispositivo cualificado de creación de firma / de sello electrónico?

Y la respuesta publicada por la SEAD dice:

Un dispositivo de creación de firmas electrónicas que cumple los requisitos enumerados en el anexo II del Reglamento (UE) 910/2014. Asimismo, un dispositivo cualificado de creación de sello electrónico es aquel que cumple, mutatis mutandis, los requisitos indicados en el anexo II del Reglamento (UE) 910/2014.

De acuerdo con el artículo 30 del Reglamento (UE) 910/2014, la certificación es una condición sine qua non para la consideración de un dispositivo de creación de firma o sello electrónico como cualificado. La citada certificación obligatoria, que atestiguará el cumplimiento de los requisitos establecidos en el anexo II del citado Reglamento, podrá ser únicamente llevada a cabo por los organismos europeos designados al efecto de acuerdo con su artículo 30.2, en concreto en España, el Centro Criptológico Nacional.

La lista de dispositivos cualificados que han sido notificados a la Comisión Europea por parte de los Estados miembros en virtud del artículo 31 del Reglamento (UE) 910/2014 contiene, en consecuencia, todos aquellos dispositivos que han sido certificados, por lo que cualquier otro dispositivo que no figure en la citada lista no tiene la consideración de dispositivo cualificado.

Puede encontrar información actualizada sobre la lista de organismos europeos de certificación y la lista de dispositivos cualificados de creación de firma y sello en la página de la Comisión Europea.

Sin embargo, si leemos detalladamente el Reglamento EIDAS, lo que dice es bien distinto:

Artículo 29

Requisitos de los dispositivos cualificados de creación de firmas electrónicas

1.   Los dispositivos cualificados de creación de firmas electrónicas cumplirán los requisitos establecidos en el anexo II.

2.   La Comisión podrá, mediante actos de ejecución, establecer números de referencia de normas relativas a los dispositivos cualificados de creación de firmas electrónicas. Se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas normas. Estos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

Artículo 30

Certificación de los dispositivos cualificados de creación de firmas electrónicas

1.   La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

2.   Los Estados miembros notificarán a la Comisión los nombres y direcciones de los organismos públicos o privados a que se refiere el apartado 1. La Comisión pondrá la información a disposición de los Estados miembros.

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo, o

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

4.   La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 47, en lo que respecta al establecimiento de criterios específicos que deben satisfacer los organismos designados a que se refiere el apartado 1 del presente artículo.

Como puede apreciarse, lo que dice el Reglamento (art 29) es que se presumirá el cumplimiento de los requisitos establecidos en el anexo II cuando un dispositivo cualificado de creación de firmas electrónicas se ajuste a dichas norma, no que sea una condición «sine qua non». Es decir, puede haber otras formas de demostrar los requisitos establecidos en el anexo II. De  hecho, los requisitos del Anexo II son esencialmente los mismos que se incluían en el Anexo III de la Directiva 1999/93:

ANEXO III – Directiva 1999/93

Requisitos de los dispositivos seguros de creación de firma electrónica

1. Los dispositivos seguros de creación de firma garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) los datos utilizados para la generación de firma sólo pueden producirse una vez en la práctica y se garantiza razonablemente su secreto;

b) existe la seguridad razonable de que los datos utilizados para la generación de firma no pueden ser hallados por deducción y la firma está protegida contra la falsificación mediante la tecnología existente en la actualidad;

c) los datos utilizados para la generación de firma pueden ser protegidos de forma fiable por el firmante legítimo contra su utilización por otros.

2. Los dispositivos seguros de creación de firma no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes del proceso de firma.

REQUISITOS DE LOS DISPOSITIVOS CUALIFICADOS DE CREACIÓN DE FIRMA ELECTRÓNICA (Reglamento EIDAS)

1.

Los dispositivos cualificados de creación de firma electrónica garantizarán como mínimo, por medios técnicos y de procedimiento adecuados, que:

a) esté garantizada razonablemente la confidencialidad de los datos de creación de firma electrónica utilizados para la creación de firmas electrónicas;

b) los datos de creación de firma electrónica utilizados para la creación de firma electrónica solo puedan aparecer una vez en la práctica;

c) exista la seguridad razonable de que los datos de creación de firma electrónica utilizados para la creación de firma electrónica no pueden ser hallados por deducción y de que la firma está protegida con seguridad contra la falsificación mediante la tecnología disponible en el momento;

d) los datos de creación de la firma electrónica utilizados para la creación de firma electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.

2.

Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar.

3.

La generación o la gestión de los datos de creación de la firma electrónica en nombre del firmante solo podrán correr a cargo de un prestador cualificado de servicios de confianza.

4.

Sin perjuicio de la letra d) del punto 1, los prestadores cualificados de servicios de confianza que gestionen los datos de creación de firma electrónica en nombre del firmante podrán duplicar los datos de creación de firma únicamente con objeto de efectuar una copia de seguridad de los citados datos siempre que se cumplan los siguientes requisitos:

a) la seguridad de los conjuntos de datos duplicados es del mismo nivel que para los conjuntos de datos originales;

b) el número de conjuntos de datos duplicados no supera el mínimo necesario para garantizar la continuidad del servicio.

La similitud de requisitos entre el Anexo III de la Directiva y el Anexo II del Reglamento se ha reflejado en el artículo 51.1 del EIDAS:

1.   Los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a lo dispuesto en el artículo 3, apartado 4, de la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo al presente Reglamento.

En el contexto de la Directiva, inicialmente los dispositivos considerados dispositivos seguros de creación de firma electrónica eran los certificados en el ámbito del NIST. Inicialmente los FIPS-140-1 y posteriormente los FIPS 140-2 desde el 25 de mayo de 2001.

Hasta el año 2001 no existió una norma equivalente en el contexto europeo. En esa fecha se crearon en el CEN (Comité Europeo de Normalización) los borradores de las normas CWA 14167, CWA 14168 y CWA 14169 que finalmente se aprobaron en su versión final en el 2004. En el año 2003 se publicó la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo

Estos son los dispositivos a los que hace referencia el artículo 3, apartado 4, de la Directiva 1999/93/CE

Y en todo el  tiempo desde la publicación de la Directiva (1999) hasta la publicación de esta Decisión el cumplimiento del Anexo III se suponía que se llevaba a cabo por dispositivos certificados  FIPS-140-1 y s FIPS 140-2.

Tras la entrada en vigor del Reglamento EIDAS (publicado en 2014) pasó un tiempo sin que se aprobaran los nuevos estándares, por lo que siguieron siendo válidos los dispositivos seguros de creación de firma de la Directiva 1999/93.

En aplicación del apartado 3-b del artículo 30 cabía definir un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso hiciera uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notificaran ese proceso a la Comisión. Solo podía recurrirse a ese proceso  a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

España definió un proceso propio al amparo del apartado 3-b que se recogió en la «List of alternative processes notified to the Commission in accordance with Article 30.3(b) and 39.2 of the eIDAS Regulation (EU) No 910/2014»

El documento de metodología definido por le Centro Criptológico Nacional «IT-009 – Remote Qualified Electronic Signature Creation Device Evaluation Methodology» se publicó en Enero de 2017, cuando ya empezaban a estar disponibles los borradores de las normas de evaluación de QSCD (Qualified Signature Cretion Device)

En 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior

Una vez publicados los estándares quedaban sin efecto las normas transitorias.

Por resumir:

Hay varias circunstancias por las que un dispositivo tenga la consideración de cualificado:

Porque cumplía con el Anexo III de la Directiva:

  • FIPS-140-1 y FIPS-140-2
  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

Porque cumple con el anexo II del Reglamento:

  • Common Criteria EAL4 (y EAL4+, o superior) en base a la norma EN 419211 (partes 1 a 6) Según la DECISIÓN DE EJECUCIÓN (UE) 2016/650 
  • Normas transitorias en aplicación del art. 30 2 b del EIDAS (como la IT-009 del CCN)
  • Normas transitorias en aplicación del art. 51.1 del EIDAS: Common Criteria EAL4 (y EAL4+, o superior) en base a la norma CWA 14169, Según la Decisión 2003/511/CE:de la Comisión,

 

Spanish Tax Agency software certification: Digitized invoices with legal value

1 respuesta

A truly comprehensive Accounts Payable solution should support all invoice incoming channels (including both electronic and paper invoices) while benefiting from electronic invoices archiving.

To allow electronic archiving of paper invoices (with the option to destroy the paper originals), invoice scanning must be compliant with legal requirements, so that digital copies have full legal validity.

Maybe in the future, the requirements for certified scanning will be unified across the European Union, but nowadays only a small number of countries have legal requirements to allow paper documents to be digitized preserving their legal value.

Agencia Estatal de Administración Tributaria (AEAT), the Spanish Tax Agency, has the required regulation in place and holds the authority to approve homologation of Certified Digitization software.

The AEAT homologation process requires the application developer to present an audit report  and other documents to allow AEAT experts to assess the validity of the proposed solution. Call 902 365 612 or +34 91 716 0555 if you need additional information regarding the audit process.

With approved solutions all digitized invoices or other equivalent documents such as tickets or simplified invoices have the same legal validity as paper originals. This allows companies relying on a certified scanning approved solution to destroy paper versions, and benefiting from easier management and cost reductions.

Te basic regulation for certified scanning is defined in Article 7 of Order EHA / 962/2007 of 10th April 2007 and related Tax Agency Resolution of 24th October 2007.

The Certified Digitization process converts the image on a paper document into a digital image secured with an electronic siganture. To comply with Tax oriented digitization regulation, the process must ensure integrity by fully unattended scanning, inserting required metadata and automatically signing the generated files with a valid electronic certificate.

The invoice has to be stored in a digital repository that also fulfills strong integrity requirements (write once, read many) and digitization process control and all invoices should be available without undue delay in case of an audit.

Proper certified digitization systems allow to redesign, streamline and automate processing of documents. These solutions eliminate additive inefficiency by automated data capture from multi-channel (paper, email, OCR, EDI), electronic routing, passing collected data through the process, integration with ERPs solutions.

Advantages of integrated solutions:

  • Reduction of administrative work thanks to automation
  • Reduction of costs related to paper processing and storage.
  • Easy access and quick search results thanks to the document management
  • Streamlining the approval process of the Invoices, benefiting providers with faster payments

 

 

Manufirmatio

Deja un comentario

Al tratar la firma electrónica con espíritu enciclopédico, algo que pretendo hacer en este Blog, es inevitable referirse a diferentes etapas históricas en las que los usos y costumbres eran otras, pero en las que se sentaron las bases de la evolución de la firma.

Una de las referencias puede ser la que, en el Fuero Juzgo, trataba sobre la forma de comprobar las firmas o signos en caso de controversia, instaurando el antecedente de la prueba pericial caligráfica.

Otra, sin duda, el concepto de Manufirmatio, ceremonia con la que en la Antigua Roma se dotaba de solemnidad la vinculación del firmante con lo firmado, simbolizando la autenticidad del documento y de su voluntad de suscribirlo. 

El Manufirmatio era una ceremonia en la que un documento se extendía sobre la mesa del escribano y el autor intelectual lo leía en presencia de otras personas, os testigos. Tras la lectura, el autor pasaba la mano abierta sobre el documento a modo de juramento, aceptación o reconocimiento de su contenido  y se le estampaba nombre, signo, y una o tres cruces por el autor, notarius y escribano. A continuación testigos presenciales hacían lo mismo.

 

Escribano

Cambios en la normativa de facturación por el Real Decreto 1512/2018, de 28 de diciembre

Deja un comentario

El Real Decreto 1496/2003, de 28 de noviembre, recogia las obligaciones de facturación y bajo su auspicio se publicó la importante Orden EHA 962/2007, todavía vigente.

Posteriormente se publicó el Real Decreto 1619/2012, de 30 de noviembre, que introdujo importantes cambios, especialmente en lo relativo a las facturas simplificadas. Este RD fue necesario para transponer la Directiva 2010/45/UE.

Con el Real Decreto 1075/2017, de 29 de diciembre se introdujeron cambios en el RD 1619/2012 por la entrada en vigor del deminado «suministro inmediato de información» para la llevanza digital de libros registro de facturas expedidas y recibidas y ciertos aspectos de las facturas rectificativas.

Recientemente se ha publicado el Real Decreto 1512/2018, de 28 de diciembre, que modifica varias normas, entre las que se encuentra el RD 1619/2012.

Las modificaciones introducidas en este RD 1512/2018, de 28 de diciembre, son las siguientes:

  1. Normativa aplicable en las prestaciones de servicios prestados por vía electrónica, de telecomunicaciones y de radiodifusión y televisión (art 2.3 del Reglamento de Obligaciones de Facturación ROF).Se modifica este artículo para dar cumplimiento a lo establecido en la Directiva (UE) 2017/2455, respecto a los servicios prestados por vía electrónica, de telecomunicaciones y de radiodifusión y televisión. De esta forma, en consonancia con la modificación del artículo 61 quinquiesdecies del Reglamento del IVA (RIVA), que dispone que desde su entrada en vigor el 1 de enero de 2019, la normativa aplicable a la factura expedida por los sujetos pasivos acogidos a los regímenes especiales de ventanilla única para la declaración y gestión del Impuesto devengado por estos servicios, que hasta la fecha era la del Estado miembro de consumo, pasa a ser la del Estado miembro de identificación.

    La modificación del artículo 2 del ROF, regula las operaciones que quedan sujetas a dicha normativa, con lo que la nueva redacción establece que no será aplicable dicha normativa a las operaciones que, aunque se entiendan realizadas en el territorio de aplicación del Impuesto, se correspondan con prestaciones de servicios en las que el prestador se encuentre acogido a alguno de los regímenes especiales de ventanilla única.

    También se introduce la excepción a la regla general, de que la normativa española relativa a las obligaciones de facturación será aplicable a operaciones realizadas por sujetos pasivos establecidos en el territorio de aplicación del Impuesto, aunque sus operaciones no se entiendan realizadas en dicho territorio, cuando el prestador del servicio se encuentre acogido a los referidos regímenes especiales de ventanilla única y sea España el Estado miembro de identificación.

    Lo anterior será también de aplicación, cuando el prestador que no esté establecido en la Comunidad, se encuentre acogido a este régimen especial de ventanilla única y sea también España el Estado miembro de identificación.

  2. Obligación de expedir factura en las operaciones realizadas por los partidos políticos (art 3.1.a ROF).Se incluye un caso especial de obligatoriedad de facturación en caso de operaciones exentas del artículo 20, de la Ley del IVA (Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.). La exención indicada en la sección Uno, enumeración 28º referente a partidos políticos se añade a las ya existentes.
  3. Excepciones a la obligación de expedir factura. Sociedades gestoras de instituciones de inversión colectiva, entidades gestoras de fondos de pensiones, fondos de titulización y sus sociedades gestoras. (art 3.2 ROF)Esta modificación, resuelve un problema que se habá creado a ciertas entidades del sector financiero y de seguros (como las sociedades gestoras de instituciones de inversión colectiva y los fondos de pensiones, entre otras) que, por no tener la calificación de entidad de crédito o entidad de seguros propiamente dichas, habían quedado obligadas a expedir factura por las operaciones financieras o de seguros exentas del Impuesto, cuando dicha obligación suponía un carga administrativa adicional respecto a la de los bancos y entidades aseguradoras que no tenía justificación técnica ni de control tributario.

    Para generalizar este tratamiento especial a los casos justificados, se autoriza que la Agencia Estatal de Administración Tributaria, pueda eximir de dicha obligación a otros empresarios o profesionales distintos de los señalados expresamente en el Reglamento, previa solicitud del interesado, cuando quede justificado por las prácticas comerciales o administrativas del sector de actividad de que se trate, o bien por las condiciones técnicas de expedición de estas facturas.

  4. Aplicación de la Disposición adicional cuarta del ROF a los servicios incluidos en el régimen especial de las agencias de viajes (apartado 1.c letra h ´ Disposición Adicional Cuarta ROF)Se modifica la disposición adicional cuarta del Reglamento de Facturación para incluir, dentro del procedimiento especial de facturación regulado en dicha disposición, aplicable a las agencias de viajes que intervengan en nombre y por cuenta de otros empresarios o profesionales en la comercialización de servicios de viajes prestados directamente al viajero, a los servicios de viajes sujetos al régimen especial de las agencias de viajes, servicios que habían quedado excluidos de dicha disposición adicional cuando se amplió su ámbito de aplicación en el año 2017 y que comportan la misma naturaleza que los servicios de viajes incluidos.

¿Cual es el marco legal de la Digitalización certificada?

2 respuestas

Inicialmente la Digitalización Certificada se refería al proceso que permite realizar  copias digitales de facturas en papel preservando el valor equivalente al original.

1. Los obligados tributarios podrán proceder a la digitalización certificada de las facturas, documentos sustitutivos y de cualesquiera otros documentos que conserven en papel que tengan el carácter de originales.

Las facturas, documentos sustitutivos y otros documentos así digitalizados permitirán que el obligado tributario pueda prescindir de los originales en papel que les sirvieron de base.

La norma que la define es la Orden EHA/962/2007:

2. Se entiende por digitalización certificada el proceso tecnológico que permite, mediante la aplicación de técnicas fotoelectrónicas o de escáner, convertir la imagen contenida en un documento en papel en una imagen digital codificada conforme a alguno de los formatos estándares de uso común y con un nivel de resolución que sean admitidos por la Agencia Estatal de Administración Tributaria.

Entre los requisitos se encuentran los siguientes:

a) Que el proceso de digitalización sea realizado por el propio obligado tributario o bien por un tercero prestador de servicios de digitalización, en nombre y por cuenta de aquél, utilizando en ambos casos un software de digitalización certificado.

b) Que el proceso de digitalización utilizado garantice la obtención de una imagen fiel e íntegra de cada documento digitalizado y que esta imagen digital sea firmada con firma electrónica en los términos de los artículos anteriores de esta Orden en base a un certificado electrónico instalado en el sistema de digitalización e invocado por el software de digitalización certificada. Este certificado debe corresponder al obligado tributario cuando la digitalización certificada se realice por el mismo o al prestador de servicios de digitalización en otro caso. Uno u otro, según corresponda, deberá disponer de los procedimientos y controles necesarios para garantizar la fidelidad del proceso de digitalización certificada.

c) Que el resultado de la digitalización certificada se organice en torno a una base de datos documental y que por cada documento digitalizado se conserve un registro de datos con todos los campos exigibles en la llevanza del libro registro de facturas recibidas descrito en el Reglamento del Impuesto sobre el Valor Añadido, además de un campo en el que se contenga la imagen binaria del documento digitalizado o que enlace al fichero que la contenga, en ambos casos con la firma electrónica de la imagen del documento.

d) Que el obligado a la conservación disponga del software de digitalización certificado con las siguientes funcionalidades:

1.ª Firma de la base de datos que garantice la integridad de datos e imágenes al cierre de cada período de liquidación al que esté sometido el obligado tributario. Se admite un procedimiento equivalente de aseguramiento de la integridad de la llevanza.

2.ª Acceso completo y sin demora injustificada a la base de datos. A estos efectos, se entiende por acceso completo aquél que posibilite una consulta en línea a los datos que permita la visualización de los documentos con todo el detalle de su contenido, la búsqueda selectiva por cualquiera de los datos que deban reflejarse en los libros registro regulados en el Reglamento del Impuesto sobre el Valor Añadidola copia o descarga en línea en los formatos originales y la impresión a papel de aquellos documentos que sean necesarios a los efectos de la verificación o documentación de las actuaciones de control fiscal.

En la actualidad, además de estar regulada la Digitalización Certificada de interés tributario, también existe normativa para la digitalización de documentos en las administraciones públicas y para para la digitalización de documentos susceptibles de ser remitidos por Lexnet y utilizables en la administración de justicia.

Un video de 9 minutos que explica lo esencial de la Digitalización Certificada (incluso los requisitos de auditoría) se incluye a continuación.

 

 

Nueva lista de CABs (Conformity Assessment Bodies) en Europa

Deja un comentario

A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

Auditorias para entidades financieras en el marco de la PSD2

Deja un comentario

PSD2-FintechEl despliegue de nuevos sistemas financieros digitales amparados por la normativa PSD2 (Segunda Directiva de Pagos) deberá cumplir lo indicado en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Su Artículo 3 establece:

Revisión de las medidas de seguridad

1. La aplicación de las medidas de seguridad a que se refiere el artículo 1 deberá documentarse, probarse periódicamente, evaluarse y auditarse de conformidad con el marco jurídico aplicable al proveedor de servicios de pago por auditores con experiencia en el ámbito de la seguridad y los pagos informáticos y funcionalmente independientes, ya pertenezcan al organigrama del propio proveedor de servicios de pago o sean externos a él.

2. El período entre las auditorías a que se refiere el apartado 1 se determinará teniendo en cuenta el correspondiente marco aplicable al proveedor de servicios de pago en materia de contabilidad y de auditoría legal.

No obstante, los proveedores de servicios de pago que se acojan a la exención a que se refiere el artículo 18 estarán sujetos, como mínimo con una periodicidad anual, a una auditoría de la metodología, el modelo y los índices de fraude notificados. El auditor que lleve a cabo dicha auditoría poseerá conocimientos técnicos en el ámbito de la seguridad y los pagos informáticos y será funcionalmente independiente, ya pertenezca al organigrama del propio proveedor de servicios de pago o sea externo a él. Durante el primer año de uso de la exención prevista en el artículo 18 y al menos cada tres años en lo sucesivo, o con mayor frecuencia si así lo solicita la autoridad competente, esta auditoría será llevada a cabo por un auditor externo cualificado e independiente.

tcab-logo-trust-conformity-assessment-body-bigTCAB es una entidad evaluadora de conformidad (en inglés, CAB, Conformity Assessment Body) que audita Prestadores de Servicios Electrónicos de Confianza en el marco del EIDAS y que cuenta con los profesionales adecuados especialistas en medios de pago idóneos para esa tarea. Contacte con TCAB (Trust Conformity Assessment Body) llamando al 91 388 0789

Smart Degrees y los eTítulos

Deja un comentario

SmartDegrees es una plataforma española que facilita la gestión digital de títulos y certificados académicos, y que utiliza como mecanismo de gestión de evidencias electrónicas el registro en blockchain.

Entre otros aspectos, cuenta con Apps para móvil (Android e iOS) y se integra fácilmente con LinkedIn y en otras plataformas de búsqueda de empleo.

De momento, la Universidad Carlos III ya ofrece conexión con SmartDegrees y otras universidades se irán añadiendo en el futuro.

SmartDegrees utiliza la blockchain Quorum, para la anotación de evidencias electrónicas relacionadas con la expedición de títulos.

Quorum™ es una implementación de código abierto de la Blockchain de Ethereum, desarrollada por JP Morgan Chase que mejora aspectos como la velocidad en la gestión de transacciones. La red Ethereum se caracteriza por dar soporte a SmartContracts (contratos inteligentes) más sofisticados que los disponibles en la red Bitcoin, para los que se utiliza el lenguaje Solidity, similar al JavaScript.

Esta iniciativa se suma a la desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona y que mencioné en el artículo sobre Gestión de eTítulos universitarios mediante Blockchain

La normativa más importante sobre los requisitos de expedición de títulos universitarios oficiales es el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales.

Su artículo 16 trata sobre el Soporte documental o físico y requisitos y dice lo siguiente:

  1. La cartulina soporte de los títulos, de idéntico tamaño para todos ellos, será de material especial con determinadas claves de autenticidad, normalizado en formato UNE A-3, de acuerdo con las prescripciones técnicas y de seguridad determinadas en el Anexo XI. Por Resolución del Director General de Política Universitaria se determinarán las condiciones de suministro de dichas cartulinas a las universidades.
  2. Las cartulinas llevarán incorporado el Escudo Nacional en el ángulo superior izquierdo. Estarán numeradas mediante serie alfanumérica, cuyo control corresponderá a las unidades responsables del proceso de expedición de los títulos.
  3. Las universidades adoptarán, para los títulos que expidan, los atributos, colores, orlas y demás grafismos que estimen convenientes, sin más limitaciones que las establecidas en este real decreto. Asimismo, podrán incorporar a los títulos que expidan su propio escudo u otros, nunca en mayor tamaño que el Escudo Nacional.
  4. Los títulos llevarán impreso todo su texto, así como la firma del rector o rectores de las universidades correspondientes. No se permitirá la incorporación de inscripción alguna no impresa, salvo la firma del interesado y la del responsable de la unidad de títulos oficiales de la universidad.
  5. Cada universidad, previamente a su entrega al interesado, efectuará en el título una estampación en seco de su sello oficial, igual para todos los títulos que expida. Remitirá muestra de dicho motivo a la Subdirección General de Títulos y Reconocimiento de Cualificaciones de este Departamento, a efectos de conocimiento y control de autenticidad.

Es interesante que aunque este artículo parece dar a entender que los título se tienen que expedir en soporte papel, en realidad no es así, ya que la normativa administrativa (Ley 39/2015) permite realizar copias auténticas en soporte papel.

La primera copia auténtica en papel sería la que requeriría dar cumplimiento a los indicados requisitos, mientras que el documento original expedido por la universidad sería el electrónico, y sería posible crear copias auténticas en papel adicionales a la primera, que sería la única dotada de solemnidades especiales.

En concreto, el artículo 27 indica

(…)

2. Tendrán la consideración de copia auténtica de un documento público administrativo o privado las realizadas, cualquiera que sea su soporte, por los órganos competentes de las Administraciones Públicas en las que quede garantizada la identidad del órgano que ha realizado la copia y su contenido.

Las copias auténticas tendrán la misma validez y eficacia que los documentos originales.

(…)

c) Las copias en soporte papel de documentos electrónicos requerirán que en las mismas figure la condición de copia y contendrán un código generado electrónicamente u otro sistema de verificación, que permitirá contrastar la autenticidad de la copia mediante el acceso a los archivos electrónicos del órgano u Organismo público emisor.

En el caso de las universidades privadas, su procedimiento es similar, pero basado en el Reglamento europeo UE 910/2014 (EIDAS) que en su artículo 46 indica:

No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.

 

 

Formación y certificación de auditores #EIDAS

4 respuestas

TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar del 4 al 8 de mayo de 2020  y que está destinado a formar especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789