El tiempo en los satélites GPS y Galileo

1 respuesta

El sistema de navegación por satélite global (GNSS) el GPS NAVSTAR ha estado abierto para uso civil desde finales de los años ochenta.

Aunque se piensa que el sistema GPS proporciona información de navegación que permite a los conductores, navegantes y pilotos señalar su posición en cualquier parte del mundo, en realidad la única información que transmite un satélite es la del tiempo cronológico generado por el reloj atómico interno de los satélites.

Esta señal de temporización es tan precisa que un receptor GPS puede utilizar la información de tres satélites para triangular su propia posición simplemente calculando el tiempo tardado por la señal en llegar y la posición de los satélites.

Un servidor NTP basado en GPS puede usar esta información para sincronizar todos los ordenadores de una red con una precisión del orden de milisegundos. En los últimos años la Unión Europea ha desarrollado su propio sistema de navegación por satélite llamado Galileo, que rivalizará con la red GPS al proporcionar su propia información de sincronización y posicionamiento.

Un aspecto reseñable de Galileo es que está diseñado para ser interoperable con GPS de modo que la mayor parte de los equipos podrán adecuarse a estas constelaciones de satélites mejorando la precisión del tiempo distribuido.

Nueva Junta Directiva de ISACA Madrid

Deja un comentario

El pasado 22 de noviembre, los socios de la Asociación ISACA (Information System Audit and Control Association) Capítulo de Madrid eligieron en Asamblea ordinaria su Junta Directiva para el periodo 2018-20.

D. Ricardo Barrasa García  continuará como Presidente. Junto a él, forman la nueva Junta Directiva:

  • Vicepresidente: D. Antonio Ramos García
  • Secretario: D. José Miguel Cardona Pastor
  • Tesorera: Dña. Ana Belén Soriano Herrera
  • Vocal 1 – Relación con los asociados, Comunicaciones y Marketing: D. Joaquín Castillón Colomina
  • Vocal 2 – Relación con la Admon. Pública y la Empresa Privada: D. Fernando Hervada Vidal
  • Vocal 3 – Formación y Relaciones Académicas: D. Vicente Chiva Carbonell
  • Vocal 4 – Auditoría & GRC: Dña. Vanesa Gil Laredo
  • Vocal 5 – Seguridad Lógica: D. Eduardo Solís Gómez
  • Vocal 6 – Eventos: D. Pablo Blanco Íñigo
  • Vocal 7-  Investigación: D. Erik de Pablo

La nueva Junta Directiva se plantea seguir manteniendo una Asociación fuerte y sólida que continúe promoviendo en la sociedad el reconocimiento de los profesionales de auditoría de sistemas, ciberseguridad, gestión de riesgos y gobierno de las tecnologías.

Se va a  fomentar el desarrollo de Grupos de Trabajo que ayuden al intercambio de experiencias y a la mejora de las prácticas de auditoría de TI

Las actividades formativas y eventos seguirán recibiendo la atención de los años anteriores en linea con las necesidades del mercado, y como oportunidades de networking.

ISACA® Internacional (Information System Audit and Control Association), otorgó la consideración de Capítulo de Madrid a la Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA), actualmente ISACA® Capítulo de Madrid, el día 7 de marzo de 2004.

ISACA® Capítulo de Madrid (ASIA), nació en abril de 2002, del interés de un nutrido grupo de profesionales, que deseaban contribuir a la calidad y excelencia de la gestión de los sistemas de información y las tecnologías de la información y las comunicaciones en España. En estos años, ha desarrollado una importante labor de formación y divulgación, así como de desarrollo de aspectos profesionales, tales como la normalización, y de prestación de servicios a sus afiliados.

La Auditoría de Sistemas de la Información nació como profesión independiente hace unos 50 años, primero como apoyo de la Auditoría de Cuentas, ante la creciente informatización de los sistemas de gestión y, posteriormente, de manera independiente, como respuesta a un entramado social y empresarial cada vez más interconectado e informatizado. Cada vez son más necesarias y frecuentes las auditorías de seguridad informática, de productividad informática, y de cumplimiento legal (protección de datos, de software legal, de cumplimiento de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico LSSI-CE, Reglamento General de Protección de Datos, Esquema Nacional de Seguridad,…….), lo que convierte a los Auditores de Sistemas de Información, en un engranaje esencial en el progreso social y económico.

VI Curso experto legal en blockchain, smart contracts e ICOS

Deja un comentario

Los próximos días 28, 29 y 30 de noviembre de 2018 el Instituto Jurídico de Blockchain organiza un curso de ‘Experto legal en Blockchain, Smart Contracts e ICOS, que se celebrará en la sede del Consejo General de la Abogacía (Paseo de Recoletos, 13. Madrid). 

El curso está dirigido a abogados y profesionales del Derecho, miembros de la Administración Pública, académicos y docentes y empresas que estén valorando el lanzamiento de un proyecto de blockchain y se divide en cinco módulos.

  • ‘Tecnología blockchain, bitcoin, ethereum y principales retos jurídicos’,
  • ‘Identidad digital’,
  • Smart Contracts’,
  • ‘ICOS’ y
  • ‘Tokenización de activos. Aspectos jurídicos’.

La formación teórica se completará con distintas actividades prácticas, como la exploración de transacciones en una blockchain o la programación de un Smart Contract en Solidity.

Yo impartiré el módulo de Identidad Digital.

He mencionado en otras ocasiones alguna de las ediciones anteriores.

Invitación abierta – Grupo de Trabajo de AMETIC – Buenas prácticas en el campo de la video-identificación y el video onboarding

1 respuesta

El próximo lunes 12 de noviembre se celebrará a las 12:00 una reunión en AMETIC para constituir un Grupo de Trabajo de Identidad Digital que yo presido y que excepcionalmente está abierto a entidades que no sean miembros de AMETIC.

El objetivo del grupo es elaborar un documento titulado provisionalmente «Guidelines o buenas prácticas en el campo de la video-identificación y el video onboarding» orientado a prestadores de servicios de certificación en el marco del EIDAS y a entidades financieras y otras de los ámbitos FinTech e Insurtech que vean útil contar con un procedimiento consensuado que refleje las mejores prácticas en identificación remota de usuarios, alineadas con la normativa de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.

En el Grupo de Trabajo de Identidad Digital de AMETIC se compartirá la información pública difundida en el marco de las actividades del Grupo de Expertos de la Comisión Europea sobre técnicas de «Conoce a tu Cliente», del que formo parte y del que se puede ver más información en este enlace:

Este grupo de expertos europeo ha tenido varias reuniones los pasados meses (9 de abril y 10 de julio) y un Taller (Workshop with providers of remote on-boarding solutions) el 28 de septiembre. La tercera reunión formal del grupo tiene lugar mañana 9 de noviembre en Bruselas, por lo que en la reunión del lunes 12 de noviembre podremos trabajar con la información más reciente en lo que se refiere a los avances en Europa.

  El objetivo de este artículo es invitar a las entidades interesadas a participar en este Grupo de Trabajo. Si lees este artículo y piensas que alguien pueda estar interesado, házselo llegar. Esta invitación se puede hacer extensiva a otras personas y entidades.

Para confirmar la asistencia, llamar lo antes posible a AMETIC (Madrid: 915 90 23 00, Barcelona: 93 241 80 60).

La dirección de AMETIC es:

  • Principe de Vergara, 74, 4ª planta – 28006 Madrid.

Para los que os vaya mejor Barcelona:

  • Avda. Sarriá, 28, 1º- 1ª – 08029 Barcelona.

Ambas sedes están conectadas por un sistema de videoconferencia

Empresas españolas con soluciones de Videonboarding e Identificación remota

Deja un comentario

Estoy recopilando información de empresas que ofrecen soluciones de identificación a distancia y «video onboarding», y ya he identificado unas cuantas:

  • Lleidanet – eKYC Onboarding
  • Deloitte – OBA (Onboarding App)
  • Ecertic – KYDC (Know Your Digital Customer)
  • Electronic Identification (electronicID) – VideoID
  • ICAR vision (Mitek) – IDMobile
  • Branddocs  – TrustCloud VídeoConferencia

En estos momentos el interés por este tema es superior porque participo en el Grupo de Expertos de la Comisión Europea sobre técnicas de «Conoce a tu Cliente», y las empresas identificadas con posibilidad de prestar estos servicios se incluirán en un informe disponible para la Comisión Europea y para las entidades participantes en los trabajos.

Así que aprovecho este articulo para pedir a quienes conozcan entidades que prestan estos servicios o los incorporan en sus estrategias (como las entidades financieras) que me hagan llegar la información suficiente para identificarlas.

 

Las elecciones de AMETIC y los candidatos

1 respuesta

El pasado 4 de julio de 2018, AMETIC, la patronal española de la industria digital, celebró su Asamblea General. En ella se aprobaron por unanimidad los Estatutos reformados y se comenzó una nueva etapa en la que se han ido renovando todos los órganos directivos de las comisiones. La finalidad de la modificación estatutaria fue la de modernizar el funcionamiento de la Asociación, a través de distintas vías como: simplificar la estructura del Gobierno Corporativo y mejorar la representación de los asociados en la Junta Directiva; aumentar aún más la transparencia en la toma de decisiones; enriquecer la forma de trabajar de la Asociación; eliminar cargas administrativas, y establecer una manera de resolución de conflictos en caso de ausencia de consenso en las Comisiones de trabajo. En lo que se refiere al derecho a voto de los asociados (aspecto que fue motivo de polémica con las empresas que abandonaron AMETIC el año anterior), tras un trabajo interno muy participativo se ha optado por un sistema que, conservando el principio de “una empresa, un voto”, otorga una representación ponderada en la Junta Directiva, por colectivos en función del tamaño de las empresas, así como una presencia directa de todos los presidentes de las Comisiones, resultado de procesos electorales específicos. La Junta Directiva estará integrada por 64 personas, los presidentes de las 19 comisiones (elegidos a su vez por todos los miembros de estas comisiones con el criterio «una empresa, un voto») y los 45 representantes elegidos por las cuatro categorías de colectivos -empresas grandes, mediana, pequeñas, y asociaciones adheridas. Las asociaciones cuentan con 3 representantes, mientras que el número de representantes de las empresas grandes, medianas y pequeñas está determinado por la contribución económica del segmento al sostenimiento de la asociación en el momento en que se celebren las elecciones. En las elecciones de 2018, 20 representantes las empresas grandes, 13 las medianas y 9 las pequeñas empresas y micropymes . La Asamblea General Extraordinaria para elegir los Vocales de la Junta Directiva se celebrará el próximo día 7 de noviembre de 2018, a las 12:00 horas, en el Salón José María Cuevas de CEOE, C/ Príncipe de Vergara, 74, 28006 Madrid. En estas elecciones no se admite el voto por correo. El voto se realiza presencialmente o mediante delegación de voto. En cada papeleta deberán marcarse tres candidatos, siendo nulas las papeletas que no cumplan con este requisito. En caso de empate se procederá a otra votación, hasta que se consiga elegir al candidato ganador. Si el número de candidatos no alcanzara el número de representantes que corresponde de cada colectivo de empresas no será necesario realizar la votación y todos los candidatos formarán parte de la Junta Directiva de manera directa. Se consideran MICROPYMES las empresas que cuentan con hasta 9 empleados y alcanzan 2 millones de euros de facturación. Las PEQUEÑAS empresas tienen hasta 49 empleados y menos de 10 millones de euros de facturación. Las MEDIANAS empresas tienen hasta 249 empleados y hasta 50 millones de euros de facturación y la GRAN empresa tiene más de 250 empleados y supera los 50 millones de euros de facturación. Como se ha indicado, por su peso en las aportaciones de cuotas en la asociación, las empresas grandes contarán con 20 representantes, las medianas con 13 y las pequeñas empresas y micropymes con 9. Además las asociaciones y federaciones afiliadas cuentan con 3 representantes. Es en este contexto en el que TCAB (Trust Conformity Assessment Body) presenta su candidatura para representar a las empresas PEQUEÑAS y MICROPYMES. Puede ver en la web de TCAB el artículo sobre la candidatura de TCAB en las elecciones de AMETIC

El nodo español #EIDAS de gestión de identidades europeas explicado por Aleida Alcaide

1 respuesta

El nodo EIDAS permite el reconocimiento de identidades electrónicas gestionadas en un país para que se puedan hacer efectivas en otro.

Por ejemplo, que un español pueda usar su DNI electrónico en trámites de otros países.

Y a la inversa, que un ciudadano alemán o italiano pueda usar su sistema nacional de identidad digital para trámites en las administraciones españolas.

He tratado estos temas en estos artículos:

En estos dos vídeos podemos disfrutar de una descripción sencilla de su utilidad gracias a Aleida Alcalde

¿Qué es el nodo eIDAS?, ¿qué AAPP tienen que adaptarse a este reglamento?

¿Cómo se conectan los organismos públicos al nodo eIDAS?, ¿habrá sanciones si no se conectan?

Construyendo el futuro digital con #EIDAS

Deja un comentario

En un mundo globalizado y en plena transformación digital, la seguridad de las transacciones y las comunicaciones es más necesaria que nunca.

La gestión de la identidad digital y la preservación de evidencias electrónicas resuelve la digitalización de la última milla cartácea: esos aspectos que las entidades se resisten a gestionar digitalmente porque dudan de si serán capaces de ejercer el derecho a la prueba de otra forma que no sea en papel.

Recientemente InfoCert uno de los principales Prestadores de Servicios de Confianza Digital europeos y con sede en Italia ha entrado en el capital de Camerfirma, entidad que tuve el honor de dirigir hace 15 años, y que opera en directa colaboración con las Cámaras de Comercio.

Juntas, ambas entidades atesoran una oferta de servicios destinada a promover la Confianza Digital única en el mundo y una sólida presencia en diferentes mercados de diferentes continentes, lo que permite aventurar que se está formando un campeón de escala global con origen europeo.

Infocert-Camerfirma

El próximo 17 de Octubre 2018 a las 10:00 nos invitan en la Cámara de Comercio de España (C/Ribera del Loira 12, Madrid) a su presentación conjunta y con acompañamiento de relevantes personalidades relacionadas con la economía digital

La secretaria de Estado de Comercio, Xiana Méndez, y el responsable de Administración Electrónica y Confianza de la Comisión Europea, Andrea Servida, participarán en la jornada, bajo el título “Construyendo el futuro digital”, y a buen seguro nos actualizarán sobre el contexto de negocio digital promovido por el desarrollo del Reglamento UE 910/2014 (EIDAS).

En esta jornada se analizarán las oportunidades y retos que se plantean a las empresas en el marco del  Mercado Único Digital.

Para inscibirse, hay que acceder al sitio web de evento.

Directiva PSD2 y certificados #eIdAS de Proveedores de Servicios de Pago

1 respuesta

Ya se han tratado en este blog algunos aspectos relevantes sobre la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior, también conocida como Directiva PSD2 (Segunda Directiva de Servicios de Pago).

En uno de los artículos del blog, de marzo de 2017 dedicado al Borrador Final de los Estándares Técnicos Regulatorios  (Final Draft Regulatory Technical Standards) y #eIdAS me atreví a vaticinar  como serían los perfiles de los certificados cualificados de los PISP (Servicios de iniciación de pagos) y de los AISP (Servicios de información sobre cuentas), y en especial la asignación del número identificativo al que se refiere la norma EN 319 412.

En la actualidad ya se ha publicado una norma técnica en estado de borrador que aterriza los conceptos necesarios para emitir los certificados cualificados a las Fintech que operen en el contexto de la PSD2. Se trata de la norma TS 119 495 titulada en inglés:

Sector Specific Requirements; Qualified Certificate Profiles and TSP Policy Requirements under the payment services Directive (EU) 2015/2366

Y unos pocos Prestadores de Servicios Electrónicos de Confianza están considerando su emisión.

La Segunda Directiva de Servicios de Pago favorecerá el crecimiento del mercado europeo de pagos electrónicos y armonizará el marco legislativo europeo aún fragmentado, tras la publicación de diferentes normas emitidas por cada Estado miembro en la transposición de la Primera Directiva de Servicios de Pago (Directiva 2007/64 / CE), que conlleva riesgos potenciales para la seguridad de los pagos y para la protección de los consumidores.

En el despliegue armonizado de la Segunda Directiva, los servicios de confianza definidos por el Reglamento UE 910/2014 (EIDAS)  no han recibido suficiente atención.

Uno de los aspectos clave de la Directiva PSD2 es la identificación electrónica confiable de los actores involucrados en una transacción de pago electrónico. En este marco regulatorio se ha definido por la Autoridad Bancaria Europea (EBA) un reglamento técnico específico que hace necesaria la «Autenticación fuerte del cliente» (SCA, Strong Customer Authentication) del pagador, que debe identificarse de manera confiable. Para este requisito, todos los proveedores de servicios de pago (PISP y AISP) deben acceder a las cuentas de pago o ejecutar órdenes de pago solo después de una autenticación fuerte del cliente en base a técnicas de doble factor de autenticación (2FA). 

Esta medida ha tenido una fría acogida por parte de los proveedores de servicios de pago que la ven como una amenaza para la experiencia de usuario del ordenante de pagos, frente a variantes que simplifican la interfaz añadiendo un simple botón de  «pago con un  clic» y la mínima fricción en la autenticación.

Aunque volveré sobre el tema de la autenticación de usuarios, hoy quería tratar sobre la identificación de los Prestadores de Servicios de Iniciación de Pagos y de Información sobre cuentas, para actualizar mi sugerencia de 2017 con lo que finalmente se ha plasmado en la norma de ETSI:

El atributo organizationIdentifier contendrá la información de identificación de la entidad  utilizando la siguiente estructura:

  • «PSD» como referencia de tipo de identidad de persona jurídica de 3 caracteres;
  • código de país de 2 caracteres ISO 3166 que representa el país del organismo supervisor;
  • guión-signo menos «-» (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de organismo supervisor de 2-8 caracteres (mayúscula A-Z solamente, sin separador)
  • guión-signo menos «-» (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de PSP (número de autorización según lo especificado por el organismo supervisor).

EJEMPLO: El identificador de organización «PSDES-BDE-0182» significa un certificado emitido a un PSP para el que el número de entidad es 0182, otorgada por el Banco de España. España (el identificador después del segundo guión lo establece el sistema de numeración español).

Vulnerabilidades de entornos Blockchain

Deja un comentario

Aunque los entornos Blockchain gozan de mecanismos  de «seguridad por diseño» para algunas funcionalidades, son un queso de gruyere para otras, especialmente cuando los usuarios no conocen bien cuales son sus responsabilidades en el mantenimiento de prácticas de uso seguras.

Uno de los aspectos críticos es la protección de la clave privada de la «cartera» o del mecanismos para solicitar transacciones al sistema, que se basa en criptografía de clave pública, pero con mecanismos mucho más primitivos que los que se usan en los contextos de «firma electrónica cualificada».

Eso sin contar con que en muchos proyectos se introducen vulnerabilidades por defectos en la implementación.

Bitcoin y Ethereum, por ejemplo, han experimentado importantes episodios de explotación de vulnerabilidades que han tenido cierto eco y que han revelado debilidades inherentes de seguridad de blockchain que deben ser entendidas.

Los mecanismos de incorporación de código fuente a Github crean un vector de ataque que se puede abrir intencionadamente o por descuido cuando se hace necesario añadir una funcionalidad o corregir un error. Aunque hay muchos ojos comprobando que el software «está limpio», también hay otros que identifican vulnerabilidades y no las comunican a la comunidad pensando en explotarlas más adelante.

Cada nuevo proyecto puede reaprovechar trabajos ya realizados y añadir nuevas funcionalidades pero la complejidad crece tan deprisa que es muy difícil cubrir todos los flancos, y, a veces se producen errores de regresión porque vuelven a aparecer vulnerabilidades identificada que ya se parchearon en ocasiones anteriores. No puede darse por sentado que las funcionales del punto de partida ya eran seguras en todos sus aspectos.

Aspectos de implementación como carteras autónomas (con copia propia de la cadena de bloques y protección de claves privadas) o servicios de cartera en web (delegando a un servidor remoto el almacenamiento de la copia propia de la cadena de bloques o de la clave privada) presentan retos diferentes sobre la forma de gestionar la seguridad y su implementación y administración deberían ser revisadas.

Estos son solo algunos de los problemas que una empresa debe considerar para garantizar la seguridad de blockchain. Existen grandes diferencias de funcionamiento entre las implementaciones, no solo en los detalles de la tecnología, sino también en el entorno de seguridad general de la empresa de la organización. Estas preocupaciones deben ser consideradas cuidadosamente.