Próximos eventos «Trust Services and eID Forum» y «CA-day» en Split, Croacia el 24 y 25 de septiembre de 2025

Deja un comentario

El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).

¿A quién va dirigido?

El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.

Contenido

Entre los temas que se debatirán este año, abordaremos los siguientes

  • Normalización y certificación de la Cartera de Identidad Digital Europea
  • Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
  • Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
  • Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
  • Estrategias para promover el mercado de la identidad digital

Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.

Agenda en inglés

El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo

Inscripción

Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.

Agenda en español

11th TSF – 17th CA Day – Agenda 20250804-ESDescarga

Resumen de actos de ejecución para el desarrollo de EIDAS2 y la Cartera IDUE

1 respuesta

Se acaban de publicar 7 nuevos actos de ejecución (1566, 1567, 1568, 1569, 1570, 1571 y 1572) en relación con el Reglamento EIDAS2, y los incluyo en este artículo, en inglés y en español, junto con los que se publicaron anteriormente.

Primero, incluyo la URL del texto consolidado del Reglamento EIDAS con los cambios introducidos por el Reglamento EIDAS2.

Los Actos de ejecución (Implementing Regulation) publicados hasta la fecha son:

En inglés:

  • CIR 2024/2977 regarding PID and EAA,
  • CIR 2024/2979 regarding integrity and core functionalities,
  • CIR 2024/2980 regarding ecosystem notifications,
  • CIR 2024/2981 regarding certification of Wallet Solutions,
  • CIR 2024/2982 regarding protocols and interfaces,
  • CIR 2025/846 regarding cross border identity matching,
  • CIR 2025/847 regarding security breaches of European Digital Identity Wallets,
  • CIR 2025/848 regarding registration of Wallet Relying Parties,
  • CIR 2025/849 regarding the list of certified European Digital Identity Wallets.
  • CIR 2025/1566 regarding reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 regarding management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 regarding procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 regarding qualified electronic attestations of attributes
  • CIR 2025/1570 regarding notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 regarding formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 regarding initiation of qualified trust services

En español:

  • CIR 2024/2977 sobre DIP y DEA,
  • CIR 2024/2979 sobre integridad y funcionalidades básicas,
  • CIR 2024/2980 sobre notificaciones del ecosistema,
  • CIR 2024/2981 sobre certificación de soluciones de cartera,
  • CIR 2024/2982 sobre protocolos e interfaces,
  • CIR 2025/846 sobre la correspondencia transfronteriza de identidades,
  • CIR 2025/847 sobre las violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 sobre el registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 sobre la lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 sobre normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 sobre gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 sobre revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 sobre declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 sobre notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 sobre formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 sobre inicio de servicios de confianza cualificados

Todavía quedan borradores de actos de ejecución que no han llegado a publicarse como documentos oficiales:

Además faltan normas adicionales para dar cobertura a varios artículos del Reglamento EIDAS2

Artículo 19 bis. Requisitos aplicables a los prestadores no cualificados de servicios de confianza.

Requisitos de evaluación del artículo 20:

  • a) la acreditación de los organismos de evaluación de la conformidad y el informe de evaluación de la conformidad a que se refiere el apartado 1;
  • b) los requisitos de auditoría con arreglo a los cuales los organismos de evaluación de la conformidad realizarán la evaluación de la conformidad, incluida la evaluación compuesta, de los prestadores cualificados de servicios de confianza a que se refiere el apartado 1;
  • c) los sistemas de evaluación de la conformidad que utilizarán los organismos de evaluación de la conformidad para evaluar la conformidad de los prestadores cualificados de servicios de confianza y para proporcionar el informe a que se refiere el apartado 1.

Artículo 45. Requisitos aplicables a los certificados cualificados de autenticación de sitios web.

Artículo 45 undecies. Requisitos aplicables a los servicios cualificados de archivo electrónico,

Artículo 45 terdecies. Requisitos aplicables a los libros mayores electrónicos cualificados

O sea que todavía faltan borradores y consecuentemente los actos de ejecución correspondientes.

Desde EADTrust y Garrigues estamos haciendo un seguimiento exhaustivo de todos los requisitos legales y técnicos derivados del despliegue del Reglamento EIDAS2 y de la Cartera de Identidad Digital Europea y contamos con módulos preparados para ayudar a las entidades a aceptar la Cartera, y a cumplir otros requisitos del Reglamento.

Recordemos que antes del 24 de diciembre de 2027 deben aceptar autenticaciones y contrataciones con la Cartera las entidades de los sectores del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones.

Las entidades que necesitan conectarse como proveedores de información (declaraciones de atributos) o solicitantes de información (partes usuarias) pueden contactar con EADTrust o con Garrigues llamando al 917160555.

También existe un formulario en una pagina dedicada al desarrollo del ecosistema de la Cartera de Identidad Digital en nuestro sitio User Centric Id.

Modernización de la normativa de tasaciones: valoración de bienes inmuebles y derechos reales

Deja un comentario

La Orden ECM/599/2025, publicada en el BOE el 12 de junio de 2025, introduce modificaciones significativas a la Orden ECO/805/2003, que regula las normas de valoración de bienes inmuebles y derechos reales para finalidades financieras en España.

Estas actualizaciones buscan adaptar la normativa a las necesidades del mercado inmobiliario, fomentar la sostenibilidad, agilizar procesos de financiación y reforzar la transparencia y seguridad jurídica en las tasaciones.

A continuación, se recogen algunos efectos de esta actualización:

Firma electrónica obligatoria: se modifica el artículo 64 de la Orden ECO/805/2003 indicando «Necesariamente las firmas serán electrónicas y cumplirán la normativa vigente sobre firma electrónica correspondiendo a la entidad tasadora establecer los procedimientos que aseguren la inalterabilidad de los documentos en que se estampa».

Índice obligatorio: Los informes de tasación ahora deben incluir un índice inicial para facilitar la navegación.

Licencias urbanísticas simplificadas: La orden reconoce licencias básicas o autorizaciones administrativas previas como válidas para realizar tasaciones sin condicionantes, siempre que cumplan requisitos técnicos. Esto permite a los promotores acceder a financiación hipotecaria más rápido, reduciendo los plazos de inicio de obras y los costes asociados. Como resultado, se espera un aumento en la oferta de viviendas al facilitar la promoción inmobiliaria.

Factores medioambientales en la valoración: Se introduce un nuevo principio de sostenibilidad en el artículo 3 de la Orden ECO/805/2003, que obliga a considerar factores medioambientales (como eficiencia energética) en la tasación, siempre que sean relevantes para el mercado y técnicamente viables. Esto podría incrementar el valor de inmuebles con características sostenibles, incentivando la construcción y rehabilitación de edificios más eficientes.

Reducción del plazo de actualización de tasaciones: Para la determinación del valor contable de empresas aseguradoras y reaseguradoras, el plazo de actualización de tasaciones se reduce de 3 a 2 años, lo que implica revisiones más frecuentes y valores más acordes con el mercado.

Métodos automatizados de valoración: La orden establece un marco para el uso de métodos automatizados, conforme al Real Decreto-ley 24/2021, que será desarrollado por el Banco de España mediante circular. Esto podría agilizar las actualizaciones de valor de garantías inmobiliarias, especialmente en contextos de alta volatilidad.

Advertencias específicas: En tasaciones para garantías hipotecarias, se requiere incluir advertencias cuando exista una alta probabilidad de que el valor de tasación disminuya significativamente en un plazo de 18 meses, basándose en datos sólidos del mercado local (como ciclos pasados, volatilidad o elementos especulativos).

En resumen, la Orden ECM/599/2025 moderniza y adapta la normativa de tasación a las demandas actuales, con un enfoque en la sostenibilidad, la transparencia y la agilidad en la financiación.

Para más información contacte con EADTrust llamando al 917160555.

Participo en el IV Seminario Internacional RENIEC 2025

Deja un comentario

En vez de ir a los Sanfermines (tengo que hacer esta mención, siendo, como soy, de Pamplona) el 7 de julio viajaré a Lima (Perú) para participar en el IV Seminario Internacional RENIEC 2025, coincidiendo con la celebración del trigésimo aniversario de la fundación de RENIEC.

El Registro Nacional de Identificación y Estado Civil (RENIEC) se fundó el 12 de julio de 1995. Su creación se formalizó mediante la Ley N.º 26497, en cumplimiento de lo dispuesto por la Constitución Política del Perú de 1993, que estableció la necesidad de un organismo autónomo encargado de la identificación de las personas y la administración de los registros civiles en el país.

En mi reflexión sobre la Identidad Digital intentaré extrapolar la experiencia de la Unión Europea tras la publicación del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, como base para adoptar enfoques parecidos en otros países, siempre respetando su modelo de soberanía, de forma que la gestión futura de la identidad digital pueda llegar a ser interoperable en la provisión de servicios digitales con un enfoque transfronterizo. Y explicaré qué nuevos servicios se pueden ofrecer con Carteras Digitales como la «EUDI Wallet» o «Cartera IDUE».

El Seminario Internacional RENIEC es un evento organizado por el Registro Nacional de Identificación y Estado Civil (RENIEC) de Perú, enfocado en la identidad digital y la transformación digital de los servicios de identificación ciudadana. Su objetivo principal es promover el uso de la identidad digital como mecanismo legal, seguro y confiable para acceder a servicios electrónicos tanto del gobierno como del sector privado.

Durante el seminario se abordan temas como:

  • Importancia del derecho a la identidad y su ejercicio en entornos digitales.
  • Procesos de identificación y autenticación para servicios de gobierno y comercio electrónico.
  • Evolución de la identidad digital y su impacto en la seguridad jurídica y competitividad del país.
  • Experiencias nacionales e internacionales en gestión de identidad digital.
  • Rol del DNI electrónico (DNIe) y los certificados digitales en la provisión de servicios virtuales.

El evento está dirigido a funcionarios públicos, directivos de empresas privadas, especialistas técnicos y legales, así como a todos los interesados en la implementación de servicios electrónicos seguros y proyectos de gobierno digital. Además, el seminario sirve como un espacio de intercambio y aprendizaje con expertos internacionales, fortaleciendo conocimientos y compartiendo buenas prácticas sobre transformación digital e innovación en identificación ciudadana.

Esta será mi tercera participación después de la del 2022 y de la del 2024. Aquí están los videos de las intervenciones anteriores:

Intervención de Julián Inza en el Seminario Internacional RENIEC (Identificación para un Perú Digital) de 13 julio 2022 con la ponencia «Tecnologías de Identificación emergentes» enfatizando la idea de que la Identidad es uno de los derechos humanos y como se prevé que será la EUDI Wallet (EIDAS 2)

Intervención de Julián Inza en el Seminario Internacional RENIEC (Oportunidades de la identificación digital: impacto del DNIe para más y mejores servicios) de 16 de julio de 2024 con la ponencia «Identidad digital basada en Blockchain y su evolución hacia la Cartera de Identidad Digital Europea» enfatizando la vigencia de las 7 leyes de la identidad de Kim Cameron.

Actualización sobre los Certificados del Cuaderno Digital de Explotación Agrícola (CUE)

Deja un comentario

El Cuaderno Digital de Explotación Agrícola (CUE) es una herramienta digital diseñada para registrar y gestionar electrónicamente los datos detallados de las actividades realizadas en una explotación agraria en España. Su propósito es recopilar información sobre prácticas agrícolas, como aplicaciones fitosanitarias, fertilización, riego, ecorregímenes y otras actividades relacionadas con la gestión de la explotación, de manera integrada con el Registro Autonómico de Explotaciones Agrícolas (REA) y el Sistema de Información de Explotaciones Agrícolas y Ganaderas (SIEX).

El CUE sustituye al tradicional cuaderno de explotación en papel, digitalizando el proceso para cumplir con las normativas de la Política Agrícola Común (PAC) 2023-2027 y otras regulaciones, como el Real Decreto 1054/2022 y la Orden APA/204/2023. El Real Decreto 34/2025. actualiza y aclara algunos aspectos de la normativa existente, retrasando la obligatoriedad de ciertos registros digitales.

El sistema permite a los titulares de explotaciones, entidades colaboradoras o personas habilitadas registrar datos de forma electrónica, garantizando la trazabilidad y el cumplimiento de requisitos técnicos.

Las características principales del CUE son:

  1. Integración con el REA: El CUE se conecta con el REA, que contiene la información general de las explotaciones (superficies, cultivos, etc.), para cargar datos automáticamente y facilitar su gestión.
  2. Obligatoriedad progresiva: Aunque su uso es voluntario hasta el 31 de diciembre de 2025 para ciertos registros (como los fitosanitarios), a partir del 1 de enero de 2026 será obligatorio en muchos casos, según el Real Decreto 34/2025.
  3. Opciones de uso: Los titulares pueden usar el CUE proporcionado gratuitamente por la administración autonómica (como el SGA_CEX en Castilla-La Mancha o Cuecyl en Castilla y León) o un CUE comercial autorizado, siempre que cumpla con los requisitos técnicos y esté registrado.
  4. Acceso y autorización: Los titulares, entidades colaboradoras o personas habilitadas pueden acceder al CUE mediante identificación electrónica (como certificado digital). Los titulares pueden autorizar a terceros para gestionar su CUE.
  5. Contenido: Incluye información sobre tratamientos fitosanitarios, fertilización, riego, manejo sostenible de insumos y datos relacionados con ecorregímenes o ayudas de la PAC.

El Registro Autonómico de Explotaciones Agrícolas (REA) es una base de datos que recopila información general de las explotaciones agrarias, como superficies, cultivos y referencias SIGPAC (Sistema de Información Geográfica de Parcelas Agrícolas). Es obligatorio estar inscrito en el REA para poder cumplimentar el CUE, ya que este último toma datos directamente del registro para su funcionamiento. El REA, a su vez, se integra con el SIEX a nivel nacional para centralizar la información y facilitar la gestión de la PAC.

Con el CUE se simplifica la gestión administrativa y el cumplimiento normativo, se facilita el seguimiento de prácticas agrícolas para fines estadísticos y de control y se mejora la interoperabilidad entre administraciones autonómicas y nacionales a través del SIEX. El CUE es una herramienta clave para la digitalización del sector agrario, integrada con el REA para garantizar una gestión eficiente y transparente de las explotaciones agrícolas, en línea con las exigencias de la PAC y la normativa europea

En diciembre de 2024 se publicó la Versión: 3.3.0 del documento Anexo VI Diseño del Sistema de Importación y Exportación REA-CUE que describe los distintos métodos implementados en el servicio web de REA y CUE para poder facilitar información del registro de explotaciones a los CUE comerciales.

En el Apartado 4.3 se recomienda el uso de certificados de Persona Jurídica (con el que se realizan sellos electrónicos):

  • Sello de entidad: este certificado debería contener, al menos, lo siguientes campos del Subject para poder realizar la comunicación con el SW:
    • CN: para indicar el nombre del dominio: empresa.local.es (máximo 64 caracteres)
      Este campo es de contenido libre, por lo que se puede utilizar para almacenar el dominio, aunque con la limitación de 64 caracteres.
    • serialNumber: Para indicar el NIF (AXXXXXXXXX) de la empresa propietaria del dominio.
      Este campo es el serial number (SN) del Subject del certificado. No confundir con el Serial number identificador principal del certificado, el cual no es personalizable.

Recordemos que, las normas técnicas aplicables a estos tipos de certificados son la ETSI TS 119 412-1, la ETSI TS 119 412-2 y la ETSI TS 119 412-3 que determinan el uso del atributo organizationIdentifier en el campo subject con esta estructura de datos y en este orden:

  • 3 character legal person identity type reference;
  • 2 character ISO 3166 [2] country code;
  • hyphen-minus «-» (0x2D (ASCII), U+002D (UTF-8)); and
  • identifier (according to country and identity type reference).

The three initial characters shall have one of the following defined values:

  • «VAT» for identification based on a national value added tax identification number.
  • «NTR» for identification based on an identifier from a national trade register.
  • «PSD» for identification based on national authorization number of a payment service provider under Payments Services Directive (EU) 2015/2366 [i.13]. This shall use the extended structure as defined in ETSI TS 119 495 [3], clause 5.2.1.
  • «LEI» for a global Legal Entity Identifier as specified in ISO 17442 [4]. The 2 character ISO 3166 [2] country code shall be set to ‘XG’.
  • Two characters according to local definition within the specified country and name registration authority, identifying a national scheme that is considered appropriate for national and European level, followed by the character «:» (colon).

Por ejemplo, para España VATES-B85626240

De modo que el CIF debería obtenerse preferentemente del campo organizationIdentifier del Certificado.

Para más información contacte con EADTrust llamando al 917160555.

He escrito otros artículos sobre el Cuaderno Digital de Explotación Agrícola (CUE):

Sesión de Identidad Digital en el curso de verano en ciberseguridad, CYBER BOOTCAMP Málaga, en julio de 2025

Deja un comentario

La Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga y el grupo de investigación NICS Lab han organizado un curso de verano en ciberseguridad, CYBER BOOTCAMP Málaga, dentro del Programa «Seminarios de Ciberseguridad» financiado por Google.org.

El objetivo del programa es entrenar a estudiantes de Universidades Públicas Españolas en aspectos relacionados con la ciberseguridad.

El curso de Verano tiene dos itinerarios, cada uno con 50 estudiantes, y está dirigido a Estudiantes Universitarios de cualquier Universidad Española.

Uno de los itinerarios está orientado a estudiantes de titulaciones técnicas con sólidos conocimientos informáticos y fundamentos de ciberseguridad (modalidad avanzada), y otro orientado a estudiantes de otras titulaciones sin ese nivel de conocimientos (modalidad básica).

Las clases tienen lugar desde el 1 al 11 de julio de 2025 en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga.

Yo imparto la sesión de mañana del primer día (martes, 1 de julio) del Módulo Avanzado y trataré sobre Identidad Digital enfatizando los últimos avances del Reglamento EIDAS2 y la Cartera de Identidad Europea.

Este es el temario del Módulo Avanzado:

DÍASMAÑANA
9:00 – 13:30		TARDE
15:00 – 18:15
MARTES 1Identidad Digital
Julián Inza
EAD Trust, European Agency of Digital Trust		Privacidad
Jordi Forné
Universidad Politécnica de Cataluña
MIÉRCOLES 2Seguridad de Redes y Sistemas
Pedro García
Universidad de Granada		Seguridad Web
Juan Caballero
IMDEA software Institute
JUEVES 3Vulnerabilidades software
Mikel Iturbe
Universidad de Mondragón		DevSecOps
Ana Lucila Sandoval
Universidad Complutense de Madrid
VIERNES 4Blockchain
Magda Payeras
Universidad de Islas Baleares		Seguridad multimedia
David Megías
Universidad Abierta de Cataluña (UOC)
SÁBADO 5Gestión integral de ciberincidentes
Félix García
Universidad de Murcia		Ciberinteligencia e inteligencia de fuentes abiertas
Lorena González
Universidad Carlos III de Madrid
DOMINGO 6DIA LIBREDIA LIBRE 
LUNES 7Seguridad 5G y entornos móviles
Josep Paradells
Universidad Politécnica de Cataluña		Seguridad de sistemas ciberfísicos
Cristina Alcaraz
Universidad de Málaga
MARTES 8Análisis malware
Ana Nieto
S2 Group		Seguridad Hardware
Iluminada Baturone
Universidad de Sevilla
MIÉRCOLES 9Informática forense
David Santo
Universidad de Málaga		Cibercrimen
Miguel Torres
Guardia Civil
JUEVES 10Criptografía avanzada
Javier Herranz
Universidad Politécnica de Cataluña		Hácking ético
Eduardo Sánchez
Allpentesting
VIERNES 11Inteligencia Artificial y Ciberseguridad
Rodrigo Román
Universidad de Málaga		Criptografía post-cuántica
Jaime Gómez
Santander Digital Services

Y esta es la formación de Módulo Básico:

DÍASMAÑANA
9:00 – 13:30		TARDE
15:00 – 16:30		TARDE
16:45 – 18:15
MARTESIntroducción a la ciberseguridad
Arturo Ribagorda
Universidad Carlos III de Madrid		Fraude y ciberdelincuencia
Patricia Saldaña
Universidad de Málaga		La confianza en entornos informáticos
Carmen Fernández
Universidad de Málaga
MIÉRCOLESCriptografía y herramientas criptográficas
Maribel González
Universidad Carlos III de Madrid		Criptografía aplicada
Isaac Agudo
Universidad de Málaga		Las dimensiones de la ciberseguridad
Luis Fernández
Revista SIC
JUEVESSeguridad en Redes
Miguel Soriano
Universidad Politécnica de Cataluña		Informática forense
J. Antonio Gómez
Universidad de Granada		Ciberseguridad y soberanía digital en España
Mar López
Women4Cyber Spain
VIERNESIdentidad y Firma digital
Xisca Hinarejos
Universidad de Islas Baleares		El impacto del mundo cuántico en la seguridad
Jose A. Montenegro
Universidad de Málaga		La vida secreta del metadato
Enrique Rando
Agencia Digital de Andalucía
SÁBADOPrivacidad online
Alberto Blanco
Universidad Rovira i Virgili		Soluciones Blockchain
Rubén Ríos
Universidad de Málaga		Seguridad de la IoT
Rodrigo Román
Universidad de Málaga
DOMINGO D Í A     L I B R ED Í A     L I B R E D Í A     L I B R E
LUNESHerramientas de Seguridad
José M. de Fuentes
Universidad Carlos III de Madrid		Factores humanos de la seguridad
Antonio Ruiz
Universidad de Murcia		Seguridad funcional
Fran Jaime
Universidad de Málaga
MARTESGestión de usuarios
Juan Hernández
Universidad Politécnica de Cataluña		Hardware y Seguridad
Antonio Muñoz
Universidad de Málaga		Ciberdefensa
Omar Orta
Plexus
MIÉRCOLESVirus informáticos en el día a día
Gerardo Fernández
Virus Total		Ransomware
Fernando Ramírez
Cuatroochenta		El ciclo del malware
J. Antonio Onieva
Universidad de Málaga
JUEVESFirewall/IDS
Cristina Alcaraz
Universidad de Málaga		Ciberinteligencia
Abel González
Grupo SIA		Seguridad en la industria
Cristina Alcaraz
Universidad de Málaga
VIERNESSeguridad y privacidad en móviles
Cristina López
Universidad de Vigo		Seguridad del vehículo conectado
Manuel Roldán
DEKRA		Inteligencia Artificial
Ana Ayerbe
TECNALIA

Nuevo lote de propuestas de actos de ejecución de EIDAS2 de junio de 2025

Deja un comentario

El pasado 20 de junio de 2025 se publicaron para consulta pública los borradores de tres nuevos actos de ejecución relacionados con el marco de confianza del ecosistema de la Cartera IDUE (EUDI Wallet) y el Reglamento EIDAS2.

Listas de confianza (modificación de acto de ejecución)

  • Para garantizar la comprobación de la cualificación de los Prestadores de Servicios de Confianza y de los servicios que prestan, la nueva Decisión de Ejecución modificativa establece especificaciones técnicas y formatos relativos a las listas de confianza. Lo que incluye una referencia a una nueva versión de la norma a la que se refería la Decisión de Ejecución (UE) 2015/1505 de la Comisión, así como las especificaciones sobre el formato de las firmas o sellos electrónicos que deben utilizar los Estados miembros para firmar o sellar sus listas nacionales de confianza (TSL, Trusted Services Status List).

Acreditación de organismos de evaluación de conformidad

  • Este acto de ejecución establece normas para armonizar la acreditación de los organismos de evaluación de conformidad (OEC, CAB, Conformity Assessment Bodies) responsables de evaluar el cumplimiento de los requisitos aplicables a los Prestadores de Servicios de Confianza cualificados y a los servicios de confianza cualificados que prestan. Estas normas incluyen requisitos sobre el informe de evaluación de conformidad y sobre los programas de evaluación de conformidad.

Procedimientos de gestión de riesgos para proveedores de servicios de confianza no cualificados

  • Este acto de ejecución establece los requisitos para los Prestadores de Servicios de Confianza no cualificados. Estos requisitos se refieren a la gestión de los riesgos legales, comerciales, operativos y otros riesgos directos o indirectos asociados a la prestación de dichos servicios.

Se puede participar en la consulta pública (hasta el 18 de julio de 2025) , accediendo a los enlaces indicados.

El lote anterior (de abril de 2025): Tercer lote de actos de ejecución relativos a los servicios electrónicos de confianza y a la Cartera de Identidad Digital Europea admitía comentarios hasta el 13 de mayo de 2025.

Ersetzendes Scannen: Digitalización Sustitutiva según la norma BSI TR-03138

Deja un comentario

Hace unos años hicimos para un cliente de EADTrust un análisis de toda la normativa de la Unión Europea y de un buen número de otros países para identificar las regulaciones y normas técnicas que permiten digitalizar documentos (empezando por facturas, pero con vocación de que se pudiera digitalizar cualquier documento en papel).

Una de las normas identificadas en aquel estudio, es la norma alemana BSI TR-03138 «Ersetzendes Scannen» también conocida por «RESISCAN«, abreviatura de «Replacement Scanning» por la traducción al inglés disponible en el sitio web de BSI.

He empezado a traducir esta norma al español para poderla aportar a nuestros clientes que nos contratan auditorías técnicas de verificación de cumplimiento respecto a las normas de «Digitalización Certificada de Facturas» de la AEAT, de «Digitalización Certificada de documentos de interés administrativo» aplicable en el contexto del Esquema Nacional de Interoperabilidad (ENI) y de las Normas Técnicas de Interoperabilidad (NTI) y la «Digitalización Certificada de documentos de interés procesal» orientada a generar documentos digitalizados a partir de documentos en papel que se adjuntan a los mensajes gestionados por Lexnet y que permite digitalizar cualquier documento que pudiera ser requerido en un proceso jurisdiccional. La norma de digitalización de este ámbito la publicó el CTEAJE (Comité Técnico Estatal de la Administración Judicial Electrónica).

El siguiente paso es recopilar los requisitos de todas las normas para completar nuestro checklist de evaluación de conformidad y poder orientar a nuestros clientes que desarrollan soluciones de digitalización de documentos en papel de forma que su software pueda cumplir las normas de digitalización de todos los países, especialmente los de la Unión Europea.

No he completado aun la traducción del documento, pero he querido exponer el borrador en mi blog, para animar a mis lectores que me envíen comentarios o me hagan llegar los errores que detecten.

También tengo previsto hacer traducciones de normas de digitalización existentes en otros países como la NF Z42-026, de «numérisation fidèle de documents sur support papier», y alguna más.

Este es el documento sobre «Digitalización sustitutiva» de BSI traducido al español,

TR-03138_V1_5_español-Ersetzendes Scannen-Digitalización-SustitutivaDescarga

La «digitalización sustitutiva» es el término elegido en español para designar al alemán ·Ersetzendes Scannen» recogido en la norma BSI TR-03138.

Esta norma establece los requisitos técnicos y organizativos para un proceso de digitalización de documentos en papel que sea legalmente seguro (rechtssicher). Este proceso, denominado «ersetzendes Scannen», permite que los documentos digitalizados (scanprodukt) sustituyan a los originales en papel, manteniendo su valor probatorio (Beweiswert) para usos legales, administrativos o judiciales, y permite la destrucción de los originales. La norma garantiza que el documento digital sea idéntico en contenido e imagen al original, cumpliendo con estándares de integridad, confidencialidad y disponibilidad.

Alcance:

  • Aplicable a entidades públicas (administración, justicia), empresas privadas y el sector sanitario.
  • Regula todas las fases del proceso de escaneado sustitutivo: preparación de documentos, digitalización, postprocesamiento y aseguramiento de la integridad.
  • Se alinea con leyes como el E-Government-Gesetz (EGovG) y el E-Justice-Gesetz, que exigen procesos de digitalización conformes al estado de la técnica.

Componentes principales:

  1. Documento principal: El que aquí se adjunta. Describe de forma compacta las medidas técnicas y organizativas necesarias para un proceso de escaneado seguro.
  2. Anexo P (Prüfspezifikation): Contiene casos de prueba para verificar la conformidad del proceso. Estos son obligatorios para la certificación, pero también sirven para autoevaluaciones sin certificación.
  3. Versiones relevantes:
    • Versión 1.4.1 (vigente hasta abril de 2020).
    • Versión 1.5 (publicada en agosto de 2024, vigente para certificaciones desde el 11.12.2024), que incluye la posibilidad de escaneado móvil mediante dispositivos como teléfonos o tabletas con aplicaciones específicas.

Requisitos clave:

  • Integridad: El documento digital debe ser idéntico al original en contenido e imagen, utilizando herramientas como firmas electrónicas cualificadas o sellos temporales para garantizar la no manipulación.
  • Transfervermerk (nota de transferencia): Un registro que documenta el proceso de digitalización, permitiendo rastrear los pasos desde el escaneado hasta el archivo, esencial para acreditar el valor probatorio en caso de disputas legales.
  • Clasificación de protección: La norma distingue tres niveles de protección (normal, alto, muy alto) según los objetivos de seguridad: integridad, confidencialidad y disponibilidad. Las medidas varían según la sensibilidad del documento.
  • Verfahrensdokumentation: Es obligatorio documentar el procedimiento de escaneado para garantizar la trazabilidad y cumplimiento normativo.
  • Auditoría y certificación: Para obtener la certificación BSI, se deben superar auditorías basadas en los casos de prueba del Anexo P.

Beneficios:

  • Legalidad: Cumple con requisitos legales para la digitalización en contextos judiciales, administrativos y fiscales.
  • Eficiencia: Reduce costes y espacio al eliminar archivos físicos, optimiza procesos y mejora el acceso a documentos mediante búsqueda de texto completo (OCR).
  • Flexibilidad: Permite el acceso a documentos digitales en cualquier momento y lugar, incluyendo escaneado móvil en la versión 1.5.
  • Seguridad: Aumenta la protección de datos y la conformidad con regulaciones como el DSGVO (Reglamento General de Protección de Datos).

Documentos de apoyo:

  • Guía práctica: «Ersetzendes Scannen leichtgemacht» ofrece orientación para implementar el proceso.
  • Anexos informativos:
    • Anexo A: Resultados del análisis de riesgos.
    • Anexo R: Notas legales no vinculantes.
    • Anexo V: Modelo de documentación de procedimientos.
    • Anexo F: Preguntas frecuentes (FAQ), actualizadas regularmente.
  • Concepto genérico de escaneado: Proporciona un procedimiento base adaptable a empresas y autoridades, con ejemplos prácticos.

Aplicaciones prácticas:

  • Sector público: Obligatorio para autoridades federales según el EGovG, con plazos para la adopción de la gestión electrónica de documentos (por ejemplo, justicia hasta 2026).
  • Sector privado: Especialmente útil en salud (actas electrónicas de pacientes) y empresas que buscan digitalización sin perder el valor probatorio.
  • Escaneado móvil: La versión 1.5 permite digitalizar documentos con dispositivos móviles, ampliando la flexibilidad para empresas y administraciones.

«Global Collaboration on Wallets and Credentials» (Colaboración Global sobre Carteras y Credenciales)

Deja un comentario

La «Global Collaboration on Wallets and Credentials» (Colaboración Global sobre Carteras y Credenciales) es una iniciativa internacional que reúne a comunidades técnicas, gobiernos, organizaciones internacionales, empresas tecnológicas y entidades de estándares para avanzar en el desarrollo de estándares abiertos, interoperabilidad transfronteriza y una infraestructura digital segura para el bien público.

El evento principal de 2025 se celebra en Ginebra, Suiza, en el «Centre International de Conférences Genève (CICG)», el 1 y 2 de julio de 2025 y está abierto a expertos y líderes en identidad digital, autenticación, pagos, estándares y credenciales de los sectores público, privado y de la sociedad civil.

Objetivos Principales

  • Fomentar la interoperabilidad global: Promover estándares y protocolos comunes para carteras digitales (wallets) y credenciales digitales, permitiendo que diferentes sistemas y países puedan interactuar de manera segura y eficiente14.
  • Impulsar la colaboración multisectorial: Involucrar a actores de los sectores público, privado y sociedad civil para alinear marcos técnicos, regulatorios y de políticas.
  • Desarrollar confianza digital: Construir modelos de confianza global que faciliten la verificación y el intercambio seguro de identidades y credenciales digitales.

Participantes y Organizaciones

Entre los participantes se encuentran organismos internacionales (como la ONU, la OMS, el Banco Mundial), organizaciones de estándares (W3C, ISO), fundaciones de código abierto (Linux Foundation, OpenWallet Foundation) y gobiernos nacionales. El evento es coorganizado por múltiples entidades, incluidas la Confederación Suiza y varias organizaciones de estándares y código abierto.

Temáticas y Actividades

Durante los encuentros y conferencias, se abordan temas como:

  • Identidad digital y marcos regulatorios globales
  • Arquitectura y estándares de carteras digitales
  • Interoperabilidad de credenciales verificables y pagos digitales
  • Privacidad y seguridad en el intercambio de credenciales
  • Casos de uso reales en sectores como salud, educación, comercio y servicios financieros.

X Premios Expansión Jurídico. Los proyectos más innovadores

Deja un comentario

Recientemente el periódico Expansión ha incluido Go-Certius entre los proyectos más innovadores de los despachos legales españoles. Un orgullo para EADTrust y Garrigues.

Los despachos y entidades que se citan son Astara, BDO Abogados (Proyecto LOI), ClarkeModet, Gómez-Acebo & Pombo (CED-Centro de Excelencia de Datos), Ilunion (Legal Factory), KPMG Abogados, Repsol (Protea), Telefónica, Uría y Menéndez (UM Innovation Lab), y, destacadamente:

Garrigues

GoCertius es una solución legaltech diseñada para certificar cualquier documento electrónico como evidencia legalmente válida en procedimientos legales.

Y demás ya puede certificar contenidos de conversaciones o acuerdos alcanzados por chat «Telegram»