Servicios OCSP de FNMT abiertos y gratuitos


Casi dos años despues de que se propusiera como medida de la Comisión para la Reforma de las Administraciones Públicas (CORA), el Consejo de Ministros ha autorizado el pasado 27 de octubre de 2014  la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

La nota de prensa completa se puede leer aquí. Esta es su transcripción:

Encomienda entre la Administración General del Estado y la FNMT para servicios de certificación electrónica

El Consejo de Ministros ha autorizado la financiación necesaria para una encomienda global entre la Administración General del Estado (AGE) y la Fábrica Nacional de Moneda y Timbre- Real Casa de la Moneda (FNMT-RCM), para la prestación de los servicios de certificación electrónica.

Esta encomienda se enmarca dentro del Informe de la Comisión para la Reforma de las Administraciones Públicas (CORA), y será de aplicación en los órganos, organismos y entidades pertenecientes a la Administración General del Estado.

Además, aquellos organismos que no formen parte de la AGE, así como otras instituciones y poderes del Estado y/o sociedades estatales que ejerzan funciones públicas, podrán sumarse a la encomienda, previa vinculación del presupuesto correspondiente.

Con esta encomienda global se persigue reducir el esfuerzo, tiempo y recursos de los departamentos, organismos encomendantes y de la propia FNMT – RCM. Además, supondrá un ahorro de costes para la Administración General del Estado y la posibilidad de extender los servicios de firma electrónica a otros organismos.

La contraprestación a percibir por la FNMT-RCM para el ejercicio 2015 será de 2,79 millones de euros, inferior al gasto actual realizado por los organismos que quedan incluidos en el ámbito de la encomienda. Debe tenerse en cuenta además que el ámbito de aplicación es mayor que el de las encomiendas actuales.

La entrada en vigor será el 1 de noviembre de 2014 con la prestación de servicios a los servicios centrales del Minister io de Hacienda y Administraciones Públicas, y el 1 de enero de 2015 para el resto de los departamentos y organismos incluidos en su ámbito de aplicación, con una vigencia hasta el 31 de diciembre de 2015, pudiendo prorrogarse por años naturales.

Con esta encomienda y este presupuesto, no tiene sentido mantener la anomalía que supone que los servicios de certificación digital de la FNMT no ofrecen servicios OCSP abiertos y gratuitos para cualquier servicio público o privado que quiera admitir el uso de los certificados de la FNMT.

Yo creo que los aspectos claves de la encomienda de gestión y los que justifican su elevado coste son los que tienen que ver con el mantenimiento de múltiples sistemas de emisión de certificados y gestión de RA (Registration Authority” para funcionarios, empleados que trabajan al servicio de las administraciones públicas y de la administración de justicia y ciudadanos que pueden solicitar sus certifiados en múltiples organismos públicos cuyos funionarios se han de formar, auditar y administrar.

Seguro que también supone un esfuerzo la tarea (no lograda a dia de hoy) de que los certificados de la FNMT se incluyan en los repositorios de confianza de los sistemas operativos, de los navegadores y de los lectores de ficheros PDF, y dejen de aparecer los avisos de “este certificado no es de confianza”

También supone un esfuerzo redactar y mantener las políticas y prácticas de certificación y sus declaraciones.

Supone un esfuerzo asesorar a las diferentes administraciones públicas respecto a la forma de integrar sistemas que hacen uso de los certificados de la FNMT, en su emisión o aceptación.

Hay muchos costes que merecen compensación. Pero no es uno de ellos el mantenimiento de los servidores OCSP que con el último Reglamento Europeo EU 910/2014 han de ser abiertos y gratuitos para todos los prestadores de servicios de confianza digital que expiden certificados cualificados.

Esperamos que quienes negocien la encomienda de gestión tengan en cuenta estos aspectos que parecen obvios pero no se han resuelto en los más de 15 años desde que se inió el prooyecto CERES (Certificación Española) en la FNMT.

Por cierto, la disponibilidad abierta y gratuita de los servicios OCSP debe ir acompañada de una correcta codificación de los certificados de la FNMT que en la actualidad siguen siendo una anomalía en la aplicación de la normativa técnica. Entre los aspectos que deben incluir destaca el que ha de servir para saber si un certificado es válido: la inserción en elcampo AIA (Authority Information Access) de la información relativa a la dirección URL en la que está diponible el servicio OCSP abierto y gratuito.

Veremos si finalmente priman los principios de la Comisión para la Reforma de las Administraciones Públicas o si se preservan intereses espúreos, ajenos a los interese de la sociedad española.

Declaración de Conformidad ENI, ENS, EJIS


EADTrust, Prestador de Servicios de Confianza Digital, ha desarrollado una metodología para certificar declaraciones de conformidad en el marco del ENI (Esquema Nacional de Interoperabilidad), el ENS (Esquema Nacional de Seguridad) y el EJIS (Esquema Judicial de Interoperabilidad y Seguridfad). Según el contexto, se aplica como norma de referencia la Ley 11/2007 (Administraciones Públicas) o la Ley 18/2011 (Administración de Justicia).

En la actualidad, las declaraciones de conformidad son declaraciones unilaterales de cumplimiento de un determinado modelo normativo, en un contexto muy amplio de exigencias insoslayables y buenas prácticas de adopción voluntaria. El modelo de EADTrust establece un sistema de varios niveles que permite acreditar mediante la auditoría realizada por sus especialistas el cumplimiento mínimo imprescindible del modelo normativo (ENI, ENS, EJIS) y la adopción adicional de procedimientos o despliegue de funcionalidades de administración pública electrónica  o de administración de justicia electrónica.

De esta forma, gracias a la certificación de declaraciones de conformidad, se expresa el compromiso del órgano requirente respecto al cumplimiento de la normativa e incluso la excelencia en el despliegue de iniciativas de administración electrónica, y su sometimiento a que sea un tercero el que compruebe el cumplimiento normativo y la debida diligencia de sus gestores.

Para solicitar el servicio contacte con EADTrust en el 917160555 o el 902 365 612

Se incrementan las notificaciones electrónicas administrativas y la facturación electrónica en Cataluña


El pasado mes de abril de 2014 se alcanzó el máximo histórico mensual de notificaciones electrónicas por e-notum, casi 32 mil, con la Generalidad de Cataluña como máximo notificador; tal como ya ocurrió en el mes de marzo. Cabe destacar que el Ayuntamiento de Castelló d’Empúries, con sus 11.910 habitantes (según el censo 2013) vuelve a ostentar el ratio de notificaciones por habitante más alta de Cataluña.

En cuanto al portal e. FACT, se gestionaron casi 7.000 facturas electrónicas, cifra que no se había alcanzado nunca, tal como ha ocurrido con el e-NOTUM. El Instituto Catalán de la Salud fue el ente que más notificó (4.859) seguido de lejos de la Diputación de Barcelona (486). Después encontramos los ayuntamientos de Reus (193), Sant Just Desvern (165) y Sant Feliu de Llobregat (121).

Respecto a los servicios de consultas electrónicas por Vía Abierta, si en marzo la gran consulta fue la de la renta, en abril encontramos en primer lugar la consulta de prestaciones sociales públicas (prestaciones percibidas) del INSS (un 24,6% del total). La finalidad más usada del consumo de datos volvió a ser la concesión de ayudas, subvenciones y becas (un 45,6% del total). Otros servicios masivamente consultados fueron el Registro de vehículos y conductores y el Padrón. Finalmente, repitieron como principales usuarios la Generalidad de Cataluña, el Organismo de Gestión Tributaria de la Diputación de Barcelona y el Ayuntamiento de Barcelona.

La comunicación de los datos de cambio de domicilio marcaron también su máximo con más de 18 mil. De los once ayuntamientos que permiten usar el servicio, este mes repiten Terrassa (8.905) y Lleida (3.296); a continuación encontramos Sant Feliu de Guíxols (2.728).

Cabe destacar que, desde la anterior extracción de datos, cuatro nuevos ayuntamientos están conectados al padrón, los de Camarasa, Castellnou de Seana, Madremanya y Vilanova de la Barca.

Mediante el siguiente enlace puede acceder al informe completo de los datos de actividad del servicio, como presentación en Slideshare correspondiente a abril 2014.

¿Es aplicable la Ley 11/2007 a los colegios profesionales? ¿Y a las cámaras de comercio?


El Artículo 2 (Ámbito de aplicación) de la Ley 11/2007 y su disposición adicional primera  especifican las administraciones publicas obligadas en relación con el despliegue de infraestructuras y procedimientos electrónicos para atender el derecho de los ciudadanos consagrado por dicha ley  a relacionarse con las Administraciones Públicas por medios electrónicos.

Dado que los colegios profesionales y las consejos generales son corporaciones de derecho público (por cierto, también entran en esta categoría las cámaras de comercio y las federaciones deportivas), se aplica de forma restrictiva la normativa administrativa, aunque están sujetas al derecho privado.

Son personas jurídicas que adoptan forma asociativa, creadas, no por un pacto, sino por una ley que determina sus fines, estructura y funcionamiento.

La pertenencia a estas corporaciones es obligatoria para todos aquellos que pretendan ejercer determinadosderechos (p. ej., el ejercicio de una profesión en el caso de los colegios profesionales). La cualidad de miembros se determina en base a una condición objetiva, relacionada con el fin corporativo de que se trate: p. ej., una cualidadprofesional (V. Colegios Profesionales), la cualidad de comerciante o industrial (Cámaras de ComercioIndustria yNavegación), regante de un aprovechamiento colectivo de aguas públicas (V. comunidades de regantes), etc.

Por todo ello, puede afirmarse que la Ley 11/2007 de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, no es de aplicación a los Colegios Profesionales (ni a las Cámaras de Comercio).

Auditoría de firma electrónica: firma electrónica certificada


Los sistemas de gestión de firmas electrónicas se basan en un enjambre de normas técnicas y jurídicas que hacen difícil saber si se han adoptado adecuadamente.

Las múltiples opciones en la gestión de las firmas electrónicas permiten mucha flexibilidad a la hora de diseñar los sistemas, pero un error de implementación puede arruinar un buen diseño inicial.

Por eso, la posibilidad de auditar y certificar las soluciones de firma electrónica es una garantía para los implementadores de sistemas que gestionan firmas electrónicas y también para los usuarios de esos sistemas.

EADTrust es una entidad que audita sistemas de gestión, workflows, gestores documentales, CRMs y ERPs que emplean firmas electrónicas y da una opinión sobre si se implementan de forma adecuada. El análisis contempla gestión de archivo de los documentos electrónicos firmados y los procesos anejos que en los que se precisa la fuerza probatoria de la firma electrónica.

Los sistemas auditados por EADTrust contemplan los siguientes elementos:

  1. La firma se realiza con certificados reconocidos y dispositivos seguros de creación de firma, o se usa en contextos en los que alguno de estos requisitos no es exigible.
  2. La firma incluye información del momento de firma y de que el certificado utilizado para firmar no estaba revocado en ese momento.
  3. La firma se realiza con certificados emitidos por prestadores que cumplen la normativa aplicable sin más restricciones que las debidas al interés de los ciudadanos que usan las firmas.
  4. La firma permite comprobar los datos principales de los firmantes a partir de los certificados, sin necesidad de usar herramientas especiales
  5. Es posible acceder a una versión del documento que incluye la firma electrónica diseñado para ser apreciado por una persona sin conocimientos especiales, incluso en detalles derivados de la propia interpretación de la firma electrónica
  6. Los documentos son verificables en cualquier momento por un tercero a partir de la información de representacion visible de documento, y a partir de la codificación (código fuente) que incluye sus datos estructurados, de ser aplicable.

Las soluciones auditadas que cumplen todos estos requisitos reciben un informe favorable y pueden exhibir el logo de “firma certificada” creado por EADTrust.

La información sobre los sistemas auditados se incluye en las siguientes páginas web de referencia:

Digitalización certificada en el marco de la justificación de subvenciones


La digitalización certificada es un procedimiento garantista de digitalizar facturas y otros documentos de interés tributario mediante un equipamiento tecnológico adecuado y gracias al uso de la firma electrónica. Puede utilizarse un escáner, o una cámara fotográfica para convertir en imagen digital un documento en papel y una clave privada y su certificado electrónico para firmar electrónicamente la imagen. Las facturas digitalizadas con un software homologado de digitalización certificada no precisan ser conservadas en papel. Esta posibilidad viene recogida en la Orden EHA/962/2007, de 10 de Abril, que junto con la Resolución de 24 de Octubre de 2007 de la Agencia Estatal de Administración Tributaria, constituyen la base del proceso de homologación del software y de su empleo. Para poder destruir las facturas en papel y que sean válidas en su formato digital deben de cumplirse una serie de requisitos:

  • La imagen digitalizada debe de ser un reflejo fiel del original y permitir la legibilidad completa de toda la factura
  • El proceso debe de ser automático, sin interrupción y sin intervención de la persona a cago del proceso de digitalización
  • El fichero con la imagen debe de contener una serie de datos exigidos por la AEAT (nº de registro, fecha y número de factura, proveedor, base imponible, tipo impositivo y cuota de I.V.A.)
  • El formato del fichero se debe de ajustar a los estándares de la AEAT
  • La imagen generada debe de ser independiente de los dispositivos de reproducción y contener su propia información, es decir, todos los recursos y los datos para poder reproducir el documento se encuentran en el fichero
  • El fichero que contiene la imagen y los datos debe de estar firmado por firma electrónica cualificada o reconocida
  • Se debe garantizar la conservación de las imágenes. Debe de existir una base de datos y un sistema de consulta que permita el acceso al documento
  • Debe de garantizarse la integridad de los datos y la imágenes de los diferentes períodos de facturación.
  • El acceso a los datos debe de ser completo y sin demora. Es necesario que se pueda acceder tanto a los datos de la firma como al sellado de tiempo, a los datos del software y garantizar la posibilidad de obtener una copia en papel o una descarga del documento

Todos estos requisitos los evalúan las entidades auditoras de digitalización certificada como EADTrust. EADTrust, incluye de acuerdo con la empresa desarrolladora de software, otros elementos de verificación, como los que implican el cumplimiento de la Normas Técnicas de Interoperabilidad (NTI) enrelación con el Esquema Nacional de Interoperabilidad (ENS) de interés cuando la solución se destina a su uso por el sector público, lo que frecuentemente se denomina “digitalización garantizada”. EADTrust también colabora en la homologación de software orientado a ONG (Organizaciones No Guvernamentales) que pueden justificar las subvenciones recibidas en el marco de la Resolución de 19 de septiembre de 2012, de la Presidencia de la Agencia Española de Cooperación Internacional para el Desarrollo, por la que se establecen los requisitos para la justificación de gastos de subvenciones de cooperación internacional para el desarrollo, mediante presentación de documentación digitalizada y del Real Decreto 794/2010, de 16 de junio. El software de digitalización certificada orientado a la justificación de subvenciones debe cumplir ciertos requisitos adicionales a los establecidos en la normativa básica, y deben ser tenidos en cuenta antes de solicitar la homologación. Son más de 25 las entidades desarrolladoras de software de digitalización certificada auditadas hasta la fecha por los especialistas de EADTrust. En todo este proceso cuatro son los elementos esenciales:

  • Un sistema de captura de imagen con un nivel de resolución mínima de 200ppp.
  • Un software homologado por al AEAT para realizar el proceso
  • Un sistema informático que gestione el proceso y custodie la  base de datos que permite la consulta
  • Un mecanismo de firma electrónica que “plastifique” las imágenes digitales y garantice la inviolabilidad del mecanismo de control del proceso de digitalización en la base de datos.

El uso de la digitalización certificada multiplica las ventajas para la entidad que recibe facturas en papel y cuenta con un sistema de gestión de proveedores informatizado.

Catálogo de estándares – NTI – ENI


Tras la publicación de la Resolución de 3 de octubre de 2012, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica de Interoperabilidad de Catálogo de estándares en el Boletín Oficial del Estado, núm. 262 de 31 de octubre de 2012, ha quedado demostrado que, a pesar del esfuerzo realizado, es difícil contentar a todo el mundo, ya que hay clamorosas omisiones.

La norma determina el  Objeto, Ámbito de aplicación, Catálogo de estándares, Uso de los estándares, Revisión y actualización del Catálogo de estándares y presenta en anexo los estandares.

La Norma Técnica de Interoperabilidad de Catálogo de estándares desarrolla  lo previsto en el artículo 11 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

1. Las Administraciones públicas usarán estándares abiertos, así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos, al objeto de garantizar la independencia en la elección de alternativas tecnológicas por los ciudadanos y las Administraciones públicas y la adaptabilidad al progreso de la tecnología y, de forma que:

  1. Los documentos y servicios de administración electrónica que los órganos o Entidades de Derecho Público emisores pongan a disposición de los ciudadanos o de otras Administraciones públicas se encontrarán, como mínimo, disponibles mediante estándares abiertos.
  2. Los documentos, servicios electrónicos y aplicaciones puestos por las Administraciones públicas a disposición de los ciudadanos o de otras Administraciones públicas serán, según corresponda, visualizables, accesibles y funcionalmente operables en condiciones que permitan satisfacer el principio de neutralidad tecnológica y eviten la discriminación a los ciudadanos por razón de su elección tecnológica.

2. En las relaciones con los ciudadanos y con otras Administraciones públicas, el uso en exclusiva de un estándar no abierto sin que se ofrezca una alternativa basada en un estándar abierto se limitará a aquellas circunstancias en las que no se disponga de un estándar abierto que satisfaga la funcionalidad satisfecha por el estándar no abierto en cuestión y sólo mientras dicha disponibilidad no se produzca. Las Administraciones públicas promoverán las actividades de normalización con el fin de facilitar la disponibilidad de los estándares abiertos relevantes para sus necesidades.

3. Para la selección de estándares, en general y, para el establecimiento del catálogo de estándares, en particular, se atenderá a los siguientes criterios:

  1. Las definiciones de norma y especificación técnica establecidas en la Directiva 98/34/CE del Parlamento Europeo y del Consejo de 22 de junio de 1998 por la que se establece un procedimiento de información en materia de las normas y reglamentaciones técnicas.
  2. La definición de estándar abierto establecida en la Ley 11/2007, de 22 de junio, anexo, letra k.
  3. Carácter de especificación formalizada.
  4. Definición de coste que no suponga una dificultad de acceso, establecida en el anexo de este Real Decreto.
  5. Consideraciones adicionales referidas a la adecuación del estándar a las necesidades y funcionalidad requeridas; a las condiciones relativas a su desarrollo, uso o implementación, documentación disponible y completa, publicación, y gobernanza del estándar; a las condiciones relativas a la madurez, apoyo y adopción del mismo por parte del mercado, a su potencial de reutilización, a la aplicabilidad multiplataforma y multicanal y a su implementación bajo diversos modelos de desarrollo de aplicaciones.

4. Para el uso de los estándares complementarios a la selección indicada en el apartado anterior, se tendrá en cuenta la definición de uso generalizado por los ciudadanos establecida en el anexo del presente Real Decreto.

5. En cualquier caso los ciudadanos podrán elegir las aplicaciones o sistemas para relacionarse con las Administraciones públicas, o dirigirse a las mismas, siempre y cuando utilicen estándares abiertos o, en su caso, aquellos otros que sean de uso generalizado por los ciudadanos. Para facilitar la interoperabilidad con las Administraciones públicas el catálogo de estándares contendrá una relación de estándares abiertos y en su caso complementarios aplicables.

La gran carencia de la norma es que no prevee  de forma expresa (salvo que ello pueda deducirse de su artículo V.2) que los ciudadanos puedan solicitar el uso de determinados estándares y que estas solicitudes se valoren  por parte del órgano que lleve atribuida la evolución del catálogo (que se deduce que puede ser la Secretaría Ejecutiva del Comité Sectorial de Administración Electrónica).

En particular a mi me gustaría que se incluyera el formato .doc que generan el programa Microsoft Word, y otros muchos (como StarOffice, Lotus Smartsuite, OpenOffice y LibreOffice) y que es uno de los formatos más extendidos y de uso común.

Y citaría más ejemplos, cuya ausencia del catálogo es inexplicable

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.421 seguidores