OASIS Business Document Exchange Technical Committee (BDX TC)

Deja un comentario

The OASIS non-profit consortium expanded in 2012 the charter for its Business Document Exchange (BDX) Technical Committee and issued a Call for Participation to all those involved in this market, both public and private sector: agencies, enterprises, solution providers, consultants and researchers. E-payment actors including financial institutions, associations and payment networks werw also invited to take part in defining an open standards framework to support the largest public e-procurement and e-invoicing initiative in the world.

Through participation in BDX, committee members have the opportunity to influence the advancement of BDX as an international standard. As a member of the BDX Committee, you ensure your requirements and use cases are taken into account. You engage with other e-procurement experts, promote demand for compliant products, and form useful alliances for successful implementation and ongoing support.

Furthermore, BDX standards can provide an open, neutral and extensible technical framework. Bringing your use cases and relevant partner relationships into the BDX process and framework can help you to connect with a broader range of partners, faster, and at lower cost.

The links below provide more information on the BDX charter and on the benefits and costs of OASIS membership, since one must be a member of OASIS in order to participate.

BDX Technical Committee
http://www.oasis-open.org/committees/bdxr/

BDX TC Charter
http://www.oasis-open.org/committees/bdxr/charter.php

OASIS Membership Benefits
http://www.oasis-open.org/join/benefits-matrix.php

OASIS Membership Dues
http://www.oasis-open.org/join/categories.php#dues

Electronic signature framework draft standards documents

Deja un comentario

Since october 2013 ETSI has made available a set of drafts for public reviews. The comment period has ended.

The documents are available at http://docbox.etsi.org/ESI/Open/Latest_Drafts/

The list includes the following:

TR 119 000     Rationalised structure for Electronic SignatureStandardisation

Signature Creation and validation

TR 119 100    Business Driven Guidance for implementing Signature Creation and Validation

TS 119 101    Policy and Security Requirements for Electronic Signature Creation and Validation

Cryptographic Suites

TR 119 300    Business Driven Guidance for Cryptographic Suites

TS 119 312    Cryptographic Suites for Secure Electronic Signatures

Trust Service Providers Supporting Electronic Signatures

TR 119 400    Business Driven Guidance for TSPs Supporting Electronic Signatures

EN 319 412    Profiles for TSPs issuing Certificates

319 412-1: Overview and common data structures

319 412-2: Certificate profile for certificates issued to natural persons

319 412-3: Certificate profile for certificates issued to legal persons

319 412-4: Certificate profile for web site certificates issued to organisations

319 412-5: Qualified certificate statements for qualified certificate profiles

EN 319 422    Profiles for TSPs providing Time-Stamping Services

EN 319 403    Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers

Trust Application Service Providers

TR 119 500    Guidance for Trust Application Service Provider

SR 019 530    Study on standardisation requirements for e-Delivery services applying e-Signatures

Trust Service Status Lists Providers

TR 119 600    Business Driven Guidance for Trust Service Status Lists Providers

Draft eSignature Standards Second batch

A second batch came a couple of months later:

Rationalized Framework

SR 019 020 Rationalised Framework of Standards for Advanced Electronic Signatures in Mobile Environment

Signature Creation and validation

EN 319 102: Procedures for Signature Creation and Validation

EN 319 122 CMS Advanced Electronic Signatures (CAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 132 XML Advanced Electronic Signatures (XAdES)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 142 PDF Advanced Electronic Signature Profiles (PAdES)

Part 1: PAdES Overview – a framework document for PAdES

Part 2: PAdES Basic – Profile based on ISO 32000-1

Part 3: PAdES Enhanced – PAdES-BES and PAdES-EPES Profiles

Part 4: PAdES Long Term – PAdES-LTV Profile

Part 5: PAdES for XML Content – Profiles for XAdES signatures

Part 6: Visual Representations of Electronic Signatures

Part 7: PAdES Baseline Profile

EN 319 162 Associated Signature Containers (ASiC)

Part 1: Core Specification

Part 2: Baseline Profile

EN 319 172 Signature Policies

Trust Service Providers Supporting Electronic Signatures

EN 319 411 Policy and security requirements for Trust Service Providers issuing certificates

Part 1: Policy requirements for Certification Authorities issuing web site certificates

Part 2: Policy requirements for certification authorities issuing qualified certificates

Part 3: Policy requirements for Certification Authorities issuing public key certificates

Part 4: Policy requirements for certification authorities issuing Attribute Certificates

EN 319 421 Policy and Security Requirements for Trust Service Providers providing Time-Stamping Services

La red temática Criptored cumple 15 años de vida, hoy 1 de diciembre

Deja un comentario

Un día como hoy hace quince años, el 1 de diciembre de 1999, comenzaba su andadura la primera red temática de habla hispana, Criptored, impulsada de forma incansable por su promotor Jorge Ramió.

Con tres lustros de existencia, su actividad y servicio ofrecido a la comunidad pueden resumirse en los siguientes datos, contrastables a fecha de hoy con un simple recorrido a través de su servidor web: 990 miembros de 255 universidades y empresas del sector de la seguridad TIC de 23 países, más de 1.600 visitas diarias con cerca de 1.500 documentos pdf y zip descargados cada día, más de 15.000 visualizaciones al mes de su documentación multimedia, 7 congresos de seguridad CIBSI y 2 Talleres de Enseñanza TIBETS organizados en Latinoamérica, así como la celebración de 5 congresos DISI con la Cátedra UPM Applus+ en Madrid.

En el apartado formación, un total de 209 alumnos han pasado por sus aulas virtuales en las 3 ediciones celebradas del curso Online de Seguridad Informática y Ciberdefensa, y casi medio millón de alumnos han participado en sus 4 cursos gratuitos del MOOC Crypt4you, pionero además en lengua hispana de esta modalidad de enseñanza abierta.

Los proyectos enciclopedia gráfica de la seguridad de la información Intypedia y píldoras formativas Thot, con centenas y decenas de miles -respectivamente- de visitas en el canal YouTube de la UPM, junto a otros vídeos producidos por Criptored como por ejemplo 46 de las 74 conferencias UPM TASSI, superan el millón de reproducciones y significan el 16,5% de todas las visualizaciones de dicho canal. Finalmente, este año 2014 ha visto la luz el proyecto MESI, Mapa de Enseñanza de la Seguridad de la Información, cuya versión 2.0 se publicará próximamente.

Todo ello ha significado que ya en noviembre de 2014 se supere por primera vez la cifra de 1 Terabyte anual de información servida. Unos números en los que la participación de sus miembros, de sus colaboradores directos y la excelente acogida por parte de los medios de difusión de la seguridad TIC en Internet, han sido fundamentales.

Visita:
http://www.criptored.upm.es/

Seguridad en Entornos de Trabajo Móviles – Sistemas de Firma Digitalizada Biométrica

Deja un comentario

Jornadas Seguridad y Movilidad en Bilbao.

Fecha: jueves 11 de diciembre de 2014

Lugar: Palacio EUSKALDUNA en Bilbao

El próximo 11 de Diciembre, MICROSOFT y SERBAN organizan una Jornada de Trabajo, en BILBAO, donde se darán a conocer las soluciones conjuntas para la implantación de proyectos de movilidad con total seguridad, y en la que participa EADTRUST.

La Jornada tendrá lugar de 11 a 14 horas en el Palacio Euskalduna, de Bilbao, terminando con un almuerzo en el propio Palacio.

Se presentarán experiencias reales de grandes organizaciones pioneras en Proyectos de Movilización de la Fuerza de Ventas.

Descubra cómo la implantación de la firma digitalizada biométrica, de SERBAN, sobre la tecnología MICROSOFT, le ayuda a mejorar la eficiencia, el ahorro de costes y el incremento en la calidad de servicio e imagen, eliminando el papel en la firma de contratos.

Agenda
10:30         Recepción de asistentes y café de bienvenida
11:00 Bienvenida y apertura de la jornada
Santiago Maroto, Director alizanza Microsoft,
Alberto Mingo, CEO Serban
11:15  Conformidad normativa de la Firma Digitalizada
Julián Inza, Socio, European Agency of Digital Trust
11:45 Estrategias de movilidad, escenarios y dispositivos
Ramón Planet, Jefe de Producto Windows 8, Microsoft 
12:15 La firma digitalizada biométrica en movilidad 
Juan Pablo Yagüe, Director Comercial, SERBAN Biometrics
12:45 La Visión y experiencia de KutxaBank 
Richard Urkia, Responsable de Arquitectura y Sistemas
13:15 Coloquio y preguntas. Demostraciones de producto
Microsoft y Serban
13:45 Almuerzo
15:30 Fin de la jornada

Let’s Encrypt – Cifremos

Deja un comentario

The Internet Security Research Group (ISRG), en español, Grupo de Investigación de Seguridad de Internet (GISI), se ha constituido recientemente como entidad sin ánimo con el objetivo de impulsar la seguridad de Internet, especialmente a través de su iniciativa  ”Let’s Encrypt“Cifremos” que pretende distribuir gratuita y automáticamente certificados de servidor web basados en el protocolo “Secure Sockets Layer/Transport Layer Security” (SSL/TLS)ca todos los servidores del mundo.

En el Consejo del ISRG estarán representadas las entidades MozillaAkamai,Cisco, la Universidad de Michigan, la  Stanford Law School, CoreOS, IndenTrust, y la Fundación EFF (Electronic Frontier Foundation).

Estos son los miembros:

  • Josh Aas (Mozilla) — ISRG Executive Director
  • Stephen Ludin (Akamai)
  • Dave Ward (Cisco)
  • J. Alex Halderman (University of Michigan)
  • Andreas Gal (Mozilla)
  • Jennifer Granick (Stanford Law School)
  • Alex Polvi (CoreOS)
  • Peter Eckersley (EFF) — Observer

La iniciativa Let’s Encrypt, en español  “Cifremos” tiene entre sus destinatarios a los webmasters de las empresas, que instalan y mantienen servidores web. Si en la actualidad  conseguir los certificados de servidor es un engorro, por ser relativamente costosos y difíciles de instalar, con Let’s Encrypt se pretende resolver estos problemas creando una nueva Autoridad de Certificación (CA) que prepare e instale los certificados gratuita y automáticamente cuando se instalan los servidores o se reconfigura el software de un proyecto.

La gran ventaja de una internet en la que todos los servidores web usan SSL/TLS es que las comunicaciones se cifran siempre, y por tanto sus contenidos no son accesibles ni para atacantes maliciosos ni para gobiernos con pretensiones de espiar o censurar a sus ciudadanos (o a ciudadanos de otros países).

Let’s Encrypt ya ha comenzado a desarrollar los protocolos y el software necesario.

La Autoridad de Certificación (CA) de Let’s Encrypt dialoga con un software de gestión específico instalado en los servidores mediante el protocolo ACME (“Automated Certificate Management Environment”). Ya existe un borrador de la especificación ACME. Se pretende promover esta especificación para que sea parte del cuerpo normativo de la Internet Engineering Task Force (IETF) en el plazo más breve posible, y de esta forma garantizar su evolución como estándar abierto.

Tanto el software utilizado por la CA (Certification Authority) como el de las aplicaciones que acceden a ella y que facilitan a los administradores de sistemas la configuración de certificados SSL/TLS en servidores web como Apache, Nginx y Microsoft IIS, serán de fuentes abiertas. La CA pretende operar de forma transparente de modo que el repositorio de certificados emitidos y revocados estará a disposición de quien quiera inspeccionarlos.

Let’s Encrypt se someterá a los procesos de auditoría habituales de todas las CA y cumplirá los requerimientos básicos (baseline requirements) establecidos por la organización de cooperación entre desarrolladores de navegadores y autoridades de certificación  CA/Browser Forum en cuanto a la emisión y gestión de certificados digitales.

El Internet Security Research Group (ISRG) solicitará que sus certificados raíz se incluyan en los programas definidos por los desarrolladores de navegadores como Mozilla y Microsoft, para que estos navegadores confíen en los certificados emitidos por la CA de ISRG por defecto (sin requerir una aprobación expresa por los usuarios). Dado que este proceso puede ser largo y laborioso y que puede llegar a necesitar hasta 3 años por cada navegador, inicialmente ISRG solicitará a IdenTrust  (cuyas CA raíz ya están integradas en los navegadores) que firme sus certificados.   IdenTrust es uno de los impulsores del proyecto.

Para colaborar en España con esta iniciativa, contactar con Julian (@) inza.net

BBVA y Dwolla se unen para ofrecer servicios de pagos innovadores en Estados Unidos

Deja un comentario

BBVA Compass ha firmado un acuerdo para abrir su plataforma tecnológica a Dwolla, una innovadora empresa en el ámbito de los medios de pago. El acuerdo permitirá que los clientes del banco utilicen la red en tiempo real de la startup estadounidense para realizar transferencias.

Este acuerdo convierte a BBVA Compass en el mayor banco asociado con Dwolla, una alternativa ágil a las redes de pagos tradicionales que, en la mayoría de los casos, tienen décadas de antigüedad, están  lejos de ofrecer operaciones en tiempo real y, además, resultan más caras de utilizar.

BBVA Compass se posiciona así como el primer gran banco en abrir su plataforma de este modo a los desarrolladores digitales como Dwolla, en un movimiento pionero inspirado en la apertura de estándares que ha impulsado el crecimiento de otras industrias.

BBVA Compass considera que este acuerdo llega en el momento oportuno dentro del proceso de transformación de BBVA en un banco digital y lo considera indispensable para responder a los cambios en los hábitos de los consumidores.

“Estamos decididos en convertirnos en el mejor banco digital del siglo, y creemos firmemente que la mejor forma de lograr nuestro objetivo es combinar nuestras capacidades internas —  nuestra plataforma core bancaria en tiempo real —  con startups cuya razón de ser es redefinir la industria de los servicios financieros”,  afirma Manolo Sánchez, country manager de BBVA Compass. “Dwolla con su infraestructura de pagos en tiempo real, está liderando la modernización de los procesos de pagos, y esperamos que su tecnología acelere nuestra visión de la banca de la era digital”.

A partir del primer trimestre de 2015, esta alianza va a permitir realizar pagos en tiempo real entre los titulares de una cuenta de BBVA Compass de un modo tan seguro, rápido, directo y transparente como el envío de un correo electrónico. La arquitectura y las herramientas de Dwolla permiten a cualquier negocio, organización o particular con una cuenta en un banco estadounidense mover su dinero a un coste sin competencia frente a las redes tradicionales. (Las transacciones de más de 10 dólares tienen una tarifa plana de 25 centavos de dólar; y el resto de operaciones son gratuitas).

En la primera fase de este acuerdo, BBVA Compass usará el protocolo FiSync de Dwolla, diseñado especialmente para los bancos y cooperativas de crédito, para mover fondos de los clientes de BBVA Compass a través de la red en tiempo real de Dwolla.

Esto va a ser particularmente útil para para startups, empresas y pymes que busquen un sistema rápido y económico para manejar sus desembolsos o los pagos B2B, entre otras cosas. BBVA Compass y Dwolla continuarán desplegando nuevas funcionalidades y actualizaciones como parte de su alianza en los próximos meses.

“Mientras las nuevas tecnologías superan las limitaciones de las actuales infraestructuras de pagos y las iniciativas federales apoyan la demanda de sistemas de pagos en tiempo real, son las instituciones financieras que hoy están trabajando para ofrecer a sus clientes verdaderos pagos en streaming las que mañana tendrán la ventaja competitiva”, dice Ben Milne, fundador y consejero delegado de Dwolla. “BBVA Compass comparte con Dwolla la visión de una infraestructura de pagos moderna, una que ayude a las instituciones financieras y a los titulares de las cuentas a crear nuevos productos y servicios, mejorar los procesos de negocio y, que les permita seguir siendo relevantes en un contexto crecientemente digital y centrado en el cliente”.

Con el apoyo de fondos de capital riesgo como Andreessen Horowitz y Union Square Ventures, y el de inversores estratégicos como CME Group, Dwolla persigue transformar los sistemas de pagos y el movimiento de dinero; y para lograrlo está asociándose con instituciones financieras con visión de futuro. BBVA Compass invirtió más 362 millones de dólares en 2012 en su plataforma tecnológica lo que le permite operar en tiempo real.

COBIT 5

Deja un comentario

Gestionar las Tecnologías de la Información (TI) consiste en tomar decisiones operativas dentro del gobierno de las TI. La gestión de la TI se refiere a los aspectos operativos para el suministro de productos y servicios de TI en la forma más eficaz.

La gestión de la TI se lleva a cabo mediante la adopción de buenas prácticas, ampliamente usadas, que proceden de diversas fuentes como son:

  • Los estándares como ISO 9000, ISO 20000, ISO 27001, ISO 25999 e ISO 38500, que son un conjunto de criterios que ayudan a desplegar y comprobar operativas de gestión saludables en relación con alguna de las lineas de actividad de las empresas, en particular en el uso o comercialización de soluciones TIC. Estos estándares pueden estar basados en prácticas de la industria existentes, u originados por investigación (académica).
  • Las prácticas de la industria (ITIL®, COBIT®, CMMI®, eSCM-SP, PRINCE2TM, PMBOK®, M_o_R®, eTOM®, Six Sigma…) que son un conjunto de guías usadas en la industria.
  • La experiencia interna, también llamada conocimiento propietario.

COBIT-5-ISACAEl estándar COBIT (Control Objectives for Information and related Technology) ofrece un conjunto de “mejores prácticas” para la gestión de los Sistemas de Información de las organizaciones. El objetivo de COBIT es brindar buenas prácticas a través de un marco de trabajo de dominios y procesos, y presentar las actividades de una manera manejable y lógica. Estas prácticas están enfocadas más al control que a la ejecución.

La primera edición fue publicada en 1996; la segunda edición en 1998; la tercera edición en 2000 (la edición on-line estuvo disponible en 2003); y la cuarta edición en diciembre de 2005, y la versión 4.1 estuvo disponible desde mayo de 2007. La última versión del estándar COBIT, versión 5, aparece en el año 2012.

Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de referencia para la gestión de TI, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión.

COBIT presenta un enfoque al negocio que radica en vincular las metas de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los propietarios de los procesos de negocio y de TI.

COBIT presenta, asimismo, un enfoque respecto a procesos de acuerdo a las fases del ciclo de Deming, ofreciendo una visión de extremo a extremo de la TI, ayudando a identificar los recursos esenciales para el éxito de los procesos, es decir, aplicaciones, información, infraestructura y personas.

La nueva versión del COBIT se basa en cinco principios clave:

  • Principio 1: Satisfacer las necesidades de las Partes Interesadas.
  • Principio 2: Cubrir la organización de principio a fin. Integrando el Gobierno corporativo con el Gobierno de las TI. Orientación al negocio.
  • Principio 3: La aplicación de un único marco de trabajo integrado.
  • Principio 4: Habilitación de un enfoque holístico. Para conseguir una Gestión y Gobierno de las TI con eficiencia y eficacia.
  • Principio 5: La separación la Gestión de Gobierno.

COBIT 5 ayuda a las empresas de todos los tamaños aportando una beneficios tales como:

  • Mantener la información de alta calidad para apoyar las decisiones de negocios.
  • Alcanzar los objetivos estratégicos y obtener los beneficios de negocio a través del uso efectivo e innovador de las TI.
  • Lograr la excelencia operativa a través de una aplicación fiable, eficiente de la tecnología.
  • Mantener los riesgos relacionados con TI a un nivel aceptable.
  • Optimizar los servicios el coste de las TI y la tecnología.
  • Apoyar el cumplimiento de las leyes, reglamentos, acuerdos contractuales y las políticas.

El 15 de enero de 2015 será obligatorio facturar electrónicamente

Deja un comentario

Dentro de las medidas estructurales del Plan de erradicación de la morosidad en el sector público, la Ley 25/2013, de 27 de diciembre, dotada de carácter básico y, por tanto, aplicable a todas las Administraciones Públicas, tiene por objetivo impulsar el uso de la factura electrónica y crear el registro contable de facturas. Esta medida permitirá una mayor protección del proveedor, reduciendo la morosidad del sector público, y un mejor control contable de las facturas pendientes de pago, lo que contribuirá a mejorar el control del gasto público y reforzar la transparencia.

Las obligaciones de facturación tanto para el sector público como para aulunas entidades del sector privado se inician el 15 de enero de 2015.

Las empresas de especial relevancia económica podrán ser penalizadas con multas de hasta 10.000 euros por incumplir los aspectos a los que les obliga la Ley en relación con la emisión de facturas electrónicas.

La obligación de facturar al sector público se vehiculiza a través de Puntos de Facturación por cada nivel de la administración: AGE (Administración General del Estado), Autonómica y Local, con la posibilidad de que todos converjan en el Punto General de Entrada de Facturas ElectrónicasAbre nueva ventana.

Puede ser interesante para las entidades obligadas inscribirse en la formación concentrada en un día que prepara Atenea Interactiva, en Madrid, a mediados de diciembre de 2014.

Normativa:

Información sobre factura Electrónica:

FAQS del Ministerio:

Material de difusión:

Seguridad en entornos de trabajo móviles

Deja un comentario

HP-FMDA-SERBAN-EADTRUSTjpg

En la nueva era de IT la migración hacia entornos móviles en las grandes organizaciones constituye una tendencia imparable.

Ante este hecho están apareciendo algunas incógnitas relacionadas con la seguridad en el entorno IT profesional. Movilidad y seguridad, ¿incompatibles ?…. No, en absoluto.

En esta jornada podrá conocer de primera mano las soluciones conjuntas de HP y SERBAN y el asesoramiento y auditoría de EADTRUST para la implementación de proyectos de movilidad de firma manuscrita digitalizada con total seguridad, así como algunas experiencias reales de grandes organizaciones, como Banc Sabadell,  pioneras en proyectos de movilización de la fuerza de ventas.

Descubrirá también las mejoras en eficiencia, ahorro de costes e incremento en la calidad de servicio e imagen que conlleva la eliminación del papel en la firma de contratos, con la implantación de la firma digitalizada biométrica de SERBAN sobre dispositivos de HP.

Fecha: 26.11.2014
Ubicación:

Casa de la Seda
Carrer de Sant Pere Més Alt, 1
08003 Barcelona

Agenda
09:30         Recepción de asistentes y coffee de bienvenida
10:00 Bienvenida y apertura de la jornada 
Víctor Fernández, Director de Ventas para Grandes Cuentas, HP Sistemas Personales
10:15 Conformidad normativa de la Firma Digitalizada 
Julián Inza, Socio, European Agency of Digital Trust
10:45 Integración de dispositivos móviles HP en entornos de seguridad 
Melchor Sanz, Director de Preventa, HP Impresión y Sistemas Personales
11:15 La firma digitalizada biométrica en movilidad 
Juan Pablo Yagüe, Director Comercial, SERBAN Biometrics
11:45 Visión y experiencia de Banc Sabadell 
Juan Tomás Barrionuevo, Banc Sabadell
12:15 Coloquio y preguntas. Demostraciones de producto
13:00 Cocktail
14:00 Fin de la jornada

Servicios OCSP de FNMT abiertos y gratuitos

3 respuestas

Casi dos años después de que se propusiera como medida de la Comisión para la Reforma de las Administraciones Públicas (CORA), el Consejo de Ministros ha autorizado el pasado 27 de octubre de 2014  la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

La nota de prensa completa se puede leer aquí. Esta es su transcripción:

Encomienda entre la Administración General del Estado y la FNMT para servicios de certificación electrónica

El Consejo de Ministros ha autorizado la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

Esta encomienda se enmarca dentro del Informe de la Comisión para la Reforma de las Administraciones Públicas (CORA), y será de aplicación en los órganos, organismos y entidades pertenecientes a la Administración General del Estado.

Además, aquellos organismos que no formen parte de la AGE, así como otras instituciones y poderes del Estado y/o sociedades estatales que ejerzan funciones públicas, podrán sumarse a la encomienda, previa vinculación del presupuesto correspondiente.

Con esta encomienda global se persigue reducir el esfuerzo, tiempo y recursos de los departamentos, organismos encomendantes y de la propia FNMT – RCM. Además, supondrá un ahorro de costes para la Administración General del Estado y la posibilidad de extender los servicios de firma electrónica a otros organismos.

La contraprestación a percibir por la FNMT-RCM para el ejercicio 2015 será de 2,79 millones de euros, inferior al gasto actual realizado por los organismos que quedan incluidos en el ámbito de la encomienda. Debe tenerse en cuenta además que el ámbito de aplicación es mayor que el de las encomiendas actuales.

La entrada en vigor será el 1 de noviembre de 2014 con la prestación de servicios a los servicios centrales del Ministerio de Hacienda y Administraciones Públicas, y el 1 de enero de 2015 para el resto de los departamentos y organismos incluidos en su ámbito de aplicación, con una vigencia hasta el 31 de diciembre de 2015, pudiendo prorrogarse por años naturales.

Con esta encomienda y este presupuesto, no tiene sentido mantener la anomalía que supone que los servicios de certificación digital de la FNMT no ofrecen servicios OCSP abiertos y gratuitos para cualquier servicio público o privado que quiera admitir el uso de los certificados de la FNMT.

Yo creo que los aspectos claves de la encomienda de gestión y los que justifican su elevado coste son los que tienen que ver con el mantenimiento de múltiples sistemas de emisión de certificados y gestión de RA (Registration Authority» para funcionarios, empleados que trabajan al servicio de las administraciones públicas y de la administración de justicia y ciudadanos que pueden solicitar sus certificados en múltiples organismos públicos cuyos funcionarios se han de formar, auditar y administrar.

Seguro que también supone un esfuerzo la tarea (no lograda a día de hoy) de que los certificados de la FNMT se incluyan en los repositorios de confianza de los sistemas operativos, de los navegadores y de los lectores de ficheros PDF, y dejen de aparecer los avisos de «este certificado no es de confianza»

También supone un esfuerzo redactar y mantener las políticas y prácticas de certificación y sus declaraciones.

Supone un esfuerzo asesorar a las diferentes administraciones públicas respecto a la forma de integrar sistemas que hacen uso de los certificados de la FNMT, en su emisión o aceptación.

Hay muchos costes que merecen compensación. Pero no es uno de ellos el mantenimiento de los servidores OCSP que con el último Reglamento Europeo EU 910/2014 han de ser abiertos y gratuitos para todos los prestadores de servicios de confianza digital que expiden certificados cualificados.

Esperamos que quienes negocien la encomienda de gestión tengan en cuenta estos aspectos que parecen obvios pero no se han resuelto en los más de 15 años desde que se inició el proyecto CERES (Certificación Española) en la FNMT.

Por cierto, la disponibilidad abierta y gratuita de los servicios OCSP debe ir acompañada de una correcta codificación de los certificados de la FNMT que en la actualidad siguen siendo una anomalía en la aplicación de la normativa técnica. Entre los aspectos que deben incluir destaca el que ha de servir para saber si un certificado es válido: la inserción en elcampo AIA (Authority Information Access) de la información relativa a la dirección URL en la que está diponible el servicio OCSP abierto y gratuito.

Veremos si finalmente priman los principios de la Comisión para la Reforma de las Administraciones Públicas o si se preservan intereses espúreos, ajenos a los interese de la sociedad española.