Periodo de vigencia del CSV (Código Seguro de Verificación)

En relación con la implementación de la Ley 11/2007 por parte de las administraciones públicas surgen preguntas como ¿Durante cuanto tiempo se pueden ver en la sede electrónica los documentos electrónicos a través del Código Seguro de Verificación?

La normativa desarrollada no contempla todas las opciones y los organismos tienen que tomar decisiones. Para fijar criterio a la hora de trabajar en las implantaciones de la administración electrónica conviene tener en cuenta los conceptos de la diplomática digital.

En relación con la pregunta indicada, hay que decir que el CSV debe conservarse para siempre. El acceso al documento se limita por la política de gestión documental de la entidad, y debe poder hacerse siempre, bien en la sede electrónica original, bien en el organismo a cargo del archivo.

Hay que hacerse a la idea de que el CSV equivale al número de protocolo de los notarios.

En el ámbito notarial, se puede solicitar copia simple o auténtica de un documento a partir de su matriz en el propio notario que lo protocolizó (cuya identidad equivale a la de la sede electrónica del organsmo) o bien en su sucesor en el protocolo, o bien en el sistema de archivo a largo plazo de protocolos.

En el caso de las administraciones públicas, siempre debe quedar definido en la política de gestión documental el órgano ante el que se puede solicitar el documento una vez superada la fase administrativa en la que el procedimiento esta “vivo” o dentro de los plazos de prescripción.

Y para el “handout” de documentos electrónicos auténticos, cuando deban hacerse cargo de ello los archivos a largo plazo, debe firmarse entre el organismo cedente y el cesionario un documento que refleje las técnicas de preservación documental electrónica previas y futuras y los controles de integridad (hashes y timestampings) de los documentos (o colecciones) transferidos.

Atenea Interactiva organiza cursos de Diplomática Digital. Se puede contactar con el 902 365 612 o el 917160555 para solicitar un curso in-company o para inscribirse en el próximo seminario abierto sobre este tema.

Publicación Electrónica Certificada o Comprobación Fehaciente

EADTrust ofrece el servicio de Publicación electrónica certificada, también llamado de “comprobación fehaciente” de páginas web y documentos publicados en sedes electrónicas. Llame al 902 365 612 para solicitar información.

El servicio  de Publicación certificada es de interés para entidades públicas y poderes adjudicadores que tienen que tienen que demostrar la publicación de licitaciones en el “Perfil del contratante” según indican el Artículo 53 del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público (equivalente al antiguo artículo 42 de la Ley de Contratos del Sector Público de 2007) y el artículo 141 (Anuncio previo).

También es de utilidad para Sociedades que convocan Juntas de Accionistas a través de la Página web de la Sociedad (antiguamente referida como Sede Electrónica ) y a las que les es de aplicación el artículo 518 de la Ley de Sociedades de Capital. En el caso de las sociedades de capital, deben tener en cuenta, también, a estos efectos, los artículos  11 bis, 11 ter y 11 quater y el artículo 173.

Esta Ley de Sociedades de Capital ha sufrido múltiples cambios en los últimos años:

• Real Decreto-ley 13/2010, de 3 de diciembre, de actuaciones en el ámbito fiscal, laboral y liberalizadoras para fomentar la inversión y la creación de empleo.
• Ley 25/2011, de 1 de agosto, de reforma parcial de la Ley de Sociedades de Capital y de incorporación de la Directiva 2007/36/CE, del Parlamento Europeo y del Consejo, de 11 de julio, sobre el ejercicio de determinados derechos de los accionistas de sociedades cotizadas.
• Real Decreto-ley 9/2012, de 16 de marzo, de simplificación de las obligaciones de información y documentación de fusiones y escisiones de sociedades de capital.
• Ley 1/2012, de 22 de junio, de simplificación de las obligaciones de información y documentación de fusiones y escisiones de sociedades de capital.

Burofax electrónico por e-mail

Frecuentemente se habla de “Burofax online” o “Burofax electrónico” al querer hacer referencia a un sistema de comunicación fehaciente por via electrónica, gracias a que el servicio Burofax de correos (de entrega en domicilio) se ha consolidado como uno de los pocos servicios del mundo físico que certifican el contenido de una comunicación, y a que la penetracion del mundo de internet hace presumir que existen servicios equivalentes en el mundo “on-line“.

EADTrust, prestador de servicios de certficación del que soy socio inversor, está impulsando un servicio alternativo denominado Noticeman (Notice Manager) que aporta la prueba (o evidencia electrónica) de la recepción y la certificación del contenido a los mensajes enviados a direcciones de correo electrónico.

En general, una comunicación fehaciente es aquella de la cual es posible demostrar en todo momento que se ha llevado a cabo, así como cual ha sido su contenido, por haber utilizado  un medio que pemita demostrarlo. Existen diversas posibilidades de conseguir este efecto como por ejemplo la realizda por conducto notarial.

Por supuesto, si se desea que el mensaje se entregue en una dirección física, están disponibles los clásicos servicios de Correos: el  Telegrama y el Burofax, que permiten certificar la entrega y el contenido (asumiendo costes adicionales). Y a día de hoy es posible usar estos servicios sin desplazarse a la oficina de correos, a través de su página web. También existen servicios alternativos de prestadores diferentes a Correos, ya que el servicio Burofax no está incluido entre los básicos del Prestador del Servicio Postal Universal.

Contra lo que fecuentemente  se supone, no es una comunicación fehaciente el envío de una carta certificada con acuse de recibo, ya que el acuse de recibo sólo acredita la recepción, y el certificado sólo acredita el hecho de que se ha realizado un envío, pero ni uno ni otro sirven para demostrar cuál es el contenido de la comunicación.

Sin embargo, las comunicaciones fehacientes verdaderamente “on-line” son aquellas que se entregan en la dirección “on-line” del destinatario, como por ejemplo su dirección de correo electrónico.

En este contexto destaca Noticeman, sistema de comunicación fehaciente desplegado por EADTrust, prestador de servicios de certificación que actúa como “tercero de confianza”. Se trata de una notificación certificada sobre la que se puede demostrar el intento de notificación, la recepción por el destinatario, el contenido, y, de existir, la reacción del destinatario (por ejemplo, en caso de contratos, su aceptación).

Y por tan solo 3,5 euros (o menos, si se adquieren paquetes de notificaciones). Mucho más económico que el equivalente en papel.

Prueba Noticeman y ayúdanos a difundirlo

Hace unos dias incluí en el artículo eMail Certificado un código promocional que permitía probar sin coste el servicio Noticeman de notificación fehaciente crado por EADTrust.

Sigue abierta la posibilidad de probarlo gratuitamente con el código KJK7IXSMJFVNRR4W siguiendo las instrucciones del mencionado artículo.

Ahora estamos identificando gestorías, despachos de abogados, administradores de fincas y otros colectivos interesantes que pueden beneficiarse de una interesante promoción de lanzamiento. Si conoce a alguien de estos colectivos, que se puede beneficiar de esta campaña, pásale el número 902 365 612 al que puede llamar para informarse.

También estamos creando un programa de referrers, que puedan rentabilizar sus páginas web promoviendo el alta en Noticeman. Si crees que tu sitio web es frecuentado por usuarios potenciales de este servicio que sustiturá muchos burofaxes, contacta con EADTrust y te explicamos como funciona el eesquema retributivo de colaboradores.

Nueva alianza entre la ACCV y Bit Oceans

La Agencia de Tecnología y Certificación Electrónica – ACCV, y la empresa de seguridad documental Bit Oceans, han firmado una alianza estratégica por la cual ACCV incorpora la tecnología Fividoc a su catálogo de productos y servicios de seguridad digital.

La tecnología Fividoc, patentada en España y en Estados Unidos, si sitúa como el complemento perfecto a la firma electrónica, empleando los más avanzados algoritmos para detectar de un modo totalmente automático, que un documento en formato impreso es auténtico y que además su contenido no ha sido alterado. En el caso de detectar alteraciones fraudulentas Fividoc las localiza y las muestra para que puedan ser evaluadas.

Con la incorporación de Fividoc a su catálogo de servicios, la ACCV complementa sus soluciones de seguridad electrónica, cubriendo la discontinuidad existente en el mundo híbrido actual, con el paso de los documentos desde el mundo electrónico al papel, manteniendo en todo momento la seguridad sobre la autenticidad y la integridad de los documentos, ampliando la cobertura del Código Seguro de Verificación de las copias auténticas en papel, que obliga a realizar costosos e ineficientes cotejos visuales.

El nuevo servicio prestado por la ACCV permitirá que las administraciones públicas eviten que sus ciudadanos y empresas se vean perjudicados por la falsificación de sus documentos públicos, todo ello con las ventajas de la modalidad Software as a Service, y con la existencia de un único punto de validación de toda la documentación expedida.

Bit Oceans es una empresa tecnológica española experta en seguridad documental, que actualmente comercializa sus soluciones en España, Portugal, Brasil, Méjico y Panamá, y que cuenta con reconocimientos tan importantes como el premio a la Aplicación TIC del año por el Colegio de Ingenieros de Telecomunicación de Galicia, el premio a la aplicación de Administración Electrónica por Eganet, o el premio Cloud Innovation de Fujitsu España. Su tecnología Fividoc ha sido adquirida tanto por entidades públicas como ayuntamientos, diputaciones provinciales, gobiernos autonómicos y ministerios, así como por entidades privadas.

La protección de documentos con Fividoc se realiza en dos etapas: una primera etapa (SIGN) de securización del documento y una segunda etapa (VERIFY) de validación del mismo. Tras la etapa de securización, durante la cual Fividoc analiza el contenido del documento, éste se puede considerar protegido.

Además de la capacidad de mostrar las alteraciones detectadas sobre los documentos, Fividoc dispone de una serie de características que lo hacen todavía más atractivo, e incluso alguna de ellas, como la de la privacidad, hacen que prácticamente sea la única tecnología aplicable en ciertos ámbitos.

1. Privacidad. Fividoc realiza la validación de un documento en soporte impreso mostrando la o las regiones del mismo que han sido detectadas como alteradas, pero sin revelar el contenido original. Además, Fividoc no necesita almacenar en disco los documentos, sino su hash , a partir del cual no se puede extraer contenido original.
2. Automático. La validación de Fividoc es automática y desatendida, siendo más eficaz y eficiente que el cotejo visual, y que no consume recursos humanos salvo en el momento de observar el resultado. Esta característica hace a Fividoc aplicable en entornos de validación de un número medio-alto de documentos, donde otras tecnologías anti-fraude de documentos no son aplicables debido a que necesitan la intervención humana, principalmente para la realización de un cotejo visual tedioso y altamente sujeto a errores.
3. Aplicable a todo el contenido. Fividoc no emplea OCRs, y permite la detección de alteraciones en todo el contenido del documento, independientemente de si se trata de texto, imágenes o tablas, con lo que, por ejemplo, podrá detectar alteraciones como la inserción o la eliminación de texto, la sustitución de un texto por otro, o la inserción, eliminación o sustitución de firmas.
4. Facilidad de integración. La protección de Fividoc puede integrarse en aplicaciones y servicios existentes, siendo transparente al usuario.

Visto en la ACCV

Prueba de la publicación de la Convocatoria de Junta de Accionistas en la sede electrónica

Del extenso y fundamentado artículo de José Ángel García Valdecasas Butrón, Registrador Mercantil de Granada sobre la reforma parcial de la sociedades de capital de la Ley 25/2011, de 1 de agosto, y en especial la introducción del artículo 11bis, sobre Sede Electrónica Societaria, quisiera destacar este párrafo:

Para la prueba del hecho de la inserción debería recurrir el órgano de administración a complejos sistemas de certificación de contenido por medio de sellado o marca de tiempo que acreditarían de forma fehaciente la inserción de la publicación en la web social, cuál era su contenido y hasta cuándo estuvo insertado.

Pero este sellado o marca de tiempo, confiado a empresas de certificación o terceros de confianza en los términos del artículo 25 L.S.S.I.C.E., puede tener un coste superior al que se deriva de la publicación de anuncios en la prensa escrita, lo que desvirtuaría la finalidad perseguida por el legislador de abaratar el proceso de adopción de acuerdos sociales.

También es indudable la imposibilidad de que dicha acreditación fehaciente de los anuncios de convocatoria se realice a través de la fe notarial, pues como dice Segismundo Álvarez, en su trabajo publicado en “La Ley” sobre la Directiva 108/2009 “es evidente que es imposible que el notario pueda dar fe de que se ha publicado en la web de la sociedad y se ha mantenido durante el plazo legal. Ello es imposible en la práctica, pues aunque se requiriera al notario con un mes de antelación para que examinara la web de la sociedad no podría comprobar de manera constante el mantenimiento de la misma durante todo el mes”.

EAD Trust está prestando servicios de comprobación fehaciente de la publicación de la convocatoria de la Junta General de Accionistas y de los documentos adjuntos, con precios mucho más económicos que los aplicados por los anuncios societarios en prensa escrita, y con resultados mucho más ajustados a las necesidades de las sociedades de capital. Llame al 902 365 612 y solicite un acta de ejemplo para apreciar el tipo de servicio y su coste.

Artículo completo: ESTUDIO URGENTE DE LA LEY DE REFORMA PARCIAL DE LA LEY DE SOCIEDADES DE CAPITAL (web: www.notariosyregistradores.com) Autor: José Ángel García Valdecasas Butrón, Registrador Mercantil de Granada

VI Congreso de Facturación Electrónica y Digitalización Certificada

Estamos en España en un contexto de gran actividad en el ámbito de la Factura Electrónica y la Digitalización Certificada, en el sector público y en el privado, y próximamente con la celebración de VI Congreso de AMETIC de Facturación Electrónica y Digitalización Certificada en la SETSI será “un día para ponerse al día”.

Desde el último Congreso de Facturación Electrónica y Digitalización Certificada se han producido novedades importantes como la aprobación de la DIRECTIVA 2010/45/UE DEL CONSEJO de 13 de julio de 2010 por la que se modifica la Directiva 2006/112/CE relativa al sistema común del Impuesto sobre el valor añadido.

Además se han producido diferentes acciones de impulso a la Factura Electrónica en Europa y en España. Entre ellas, la aprobación del Plan de Impulso a la Factura electrónica por parte del MITyC que se ha reflejado en las actividades llevadas a cabo durante el 2010 y 2011  por Red.es. También se han publicado las especificaciones de la arquitectura de entrega de la factura electrónica de la AGE por parte del CTT (dependiente del MPTyAAPP).

Por tanto, este es un buen momento para asistir al VI Congreso de Factura electrónica y Digitalización Certificada de AMETIC que tendrá lugar próximamente en el Auditorio de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (C/ Capitán Haya, 41, C.P. 28071 Madrid) y para ponerse al dia.

La importancia del desarrollo de la factura electrónica en España ha tenido reflejo este año en la celebración en nuestro país de EXPP, la cumbre mundial de la factura electrónica. La presencia internacional de las iniciativas de facturación electrónica de España y Latinoamérica ha sido uno de los referentes de la cumbre.

El contexto internacional de la Facturación Electrónica está muy activo y, después de la publicación de la Directiva hace ya un año, quedan muchas dudas sobre su efectiva implantación en toda Europa.

Los modelos de despliegue de la factura electrónica en Latinoamérica, especialmente en México, Brasil, y Chile constituyen referentes para la región y envían un mensaje a los reguladores europeos.

Los múltiples lobbies europeos con objetivos contrapuestos centran sus discusiones en los formatos de factura, el uso o no de la firma electrónica y en la supuesta dificultad para la gestión de las facturas electrónicas por parte de las pymes, si bien en el fondo se trata de un problema de interoperabilidad transfronteriza a la que se le pueden proponer diferentes soluciones que ya se están desarrollando en Europa.

Los proveedores de servicios de facturación electrónica han formado una Asociación Europea, y en España la Comisión de Factura Electrónica de AMETIC ha desarrollado ya proyectos de interoperabilidad como Invoicex, que sirven de ejemplo para otros países.

Los formatos orientados semánticamente a CII pasan por proyectos europeos como Peppol o iniciativas de CEN como MUG o BII, y aprovechan los avances de UBL. En España, la publicación del borrador de facturae 4.0 constituye un gran avance hacia la interoperabilidad transfronteriza, y un modelo a  seguir para otros países.

CTT ha publicado el modelo de referencia para la facturación electrónica hacia entidades de la AGE y posiblemente durante 2012 esté ya disponible el sistema de forma generalizada.

Los ERP y los sistemas de digitalización certificada se benefician de todos estos avances e integran de forma sencilla para sus usuarios, formatos, firmas y digitalización, lo que permite constatar que el modelo español es ya estable y maduro.

La creación de los Foros Multisectoriales – español y  europeo - de Factura Electrónica es también una buena noticia y refleja el interés de las autoridades nacionales y europeas de impulsar la adopción de la facturación electrónica a todos los niveles para favorecer la competitividad de las empresas europeas.

En suma, estamos en un contexto de gran actividad, y “un día para ponerse al día” será el 23 de febrero del 2012.

SOA – Service Oriented Architecture y la firma electrónica

Las instituciones, organismos públicos y grandes empresas, usan cada vez más la firma electrónica, por los grandes ahorros que promueve, la eficiencia que añade a los procesos, y por prescripcion legal.

Con 25 millones de DNI electrónicos y casi 5 millones de otros certificados cualificados, se utiliza para identificar y establecer la prestación del consentimiento en miles de documentos electrónicos. Las firmas automatizadas requieren infraestructuras comunes y la mera gestión de políticas de firma hace recomendable en ocasiones utilizar sistemas de firma centralizados aunque los usuarios trabajen en puestos distribuidos en le organzación.

Servicios de gestión centralizada de firmas electrónicas y servicios conexos que forman parte de la arquitectura tecnológica de las organizaciones  se emplean cada vez más, también para garantizar una funcionalidad fluida que no dependa de las múltiples configuraciones de los equipos de los usuarios. La diversidad de equipamientos es con frecuencia causa de fallos de funcionamiento.

Entre los servicios que despliegan las organizaciones, cabe citar los siguientes:

• Servicios de Firma (DSS).  El servicio de firma automatizada permite firmar documentos XML y PDF, respectivamente con firmas XAdES y PAdES. Los documentos de otro tipo pueden encapsularse en firmas CAdES o firmas XAdES, si bien requerirán de servicios de comprobación compatibles con la técnica de encapsulado.  Este servicio permite también  verificar las firmas de documentos ya firmados. El servicio permite utilizar diferentes claves y certificados, asociados a diferentes políticas, que se gestionan de forma centralizada en un HSM (Hardware Security Module). Se usa, por ejemplo, para automizar el uso de los sellos de órgano.
• Servicio de Sellado de Tiempo. Este servicio emite y verifica sellos de tiempo sobre protocolo RFC 3161 y (o)  webservice (DSS). Si se usa con un certificado de TSU de una CA apropiada, en el marco de un acuerdo de gestión, estos sellos de tiempo pueden tener valor legal.  El sistema permite sincronización mediante NTP (accediendo a ROA), GPS y DCF77.
• Servicio de Validación de Certificados. Este servicio permite comprobar la validez de un certificado y extraer la información contenida en él, relativa al titular del mismo (nombre y apellidos, NIF/CIF, ….). Para ello hace uso de consultas OCSP o consultas de certificados revocados según el protocolo definido por la AEAT (ycaestec).
• Servicio de Copia. Este servicio añade información gráfica (Código QR o PDF 417) relativa a una firma electrónica sobre una copia constatable de un documento electrónico (albalá), facilitando así posteriores procesos de comprobación de documentos electrónicos impresos.
• Servicio de Potestades. Este servicio permite gestionar y comprobar atribuciones en un marco de gestión de políticas de firma, o en relación con flujos de proceso (worlflows) de diferentes roles del organismo (cargos administrativos, firmantes finales por nombramiento oficial, responsables, apoderados, …).
• Servicio de Custodia. Este servicio permite almacenar y recuperar documentos almacenados en el Sistema de Constancias (Cartulario). Existen varios tipos de custodia con diferentes restricciones de acceso (o sin restricciones). Se utiliza el concepto de Código Seguro de Verificación.
• Servicio de Interconexión con otras Redes. Este servicio permite obtener información de validación de certificados y otras informaciones de redes asociadas. En particular existen integraciones con la Red SARA.
• Servicios de validación de esquemas. Relacionados con documentos intercambiados, frecuentemente en formato XML se trata de validar la correcta formación de los documentos y la cumplimentación de su contenido. Por ejemplo el formato factuare en el caso de las facturas electrónicas.
• Servicio de Publicación Fehaciente. Este servicio permite obtener certificados que acrediten fehacientemente el momento en el que los documentos son publicados en una Sede Electrónica. Utiliza el sistema de sello de tiempo y permite cumplir el artículo 42 de la Ley de Contratos del Sector Público (en el caso de las administraciones públicas) o la normativa de publicación de convocatorias de juntas de la Ley de Sociedades de Capital (en el caso del sector privado).

Además hay servicios adicionales que proporcionan funcionalidades localizadas en sistemas cliente o servidor, accesibles por otros programas:

• Ejecutable de firma en cliente: permite la firma de documentos por parte de un usuario, haciendo uso de su clave y sucertificado digital. Existen variantes como por ejemplo el de  firmador java (websigner) y el de firmador de escritorio.
• Módulos que desarrollan las funcionalidades en forma de API (SDK) para ser invocadas por otras aplicaciones en entorno cliente o en entorno servidor.

Estos conceptos pueden extenderse y se tratan enel Seminario Firma Electrónica en Arquitectura SOA. Os invito a inscribiros.

Custodia Digital Masiva, una de las caras de Big Data.

Estos días, asisto como inversor a las discusiones de los especialistas de EADTrust respecto al problema de la gestión de grandes volúmenes de datos.

Sus discusiones son de tipo técnico, mientras debaten sobre arquitecturas, herramientas, gestores de bases de datos, disponibilidad de sistemas de archivo en la nube, mecanismos de respaldo, tiempo de respuesta en archivo y recuperación, redundancia, alta disponibilidad, resistencia a fallos, direccionamiento, …

Yo aporto mi granito de arena por mi experiencia en sistemas informáticos de grandes entidades, como bancos y telcos y centros de autorización de medios de pago, pero comienzo a entender que algunos de los problemas a los que se enfrentan son de nuevo cuño.

Big data

En efecto, justamente por estas fechas, ha adquirido una relevancia especial el concepto de “Big Data“, una vez identificado por los analistas.

Los grandes volúmenes de datos se han gestionado tradicionalmente con la filosofía de disponibilidad priorizada. El criterio de prioridad consistía, en general, en disponer de los datos recientes de manera inmediata, mientras que los datos más antiguos se envían a un sistema de archivo secundario y terciario. En las grandes instalaciones, esto se traducía en sistemas robotizados que manejaban “containers” de datos, frecuentemente en sistemas magnéticos de almacenamiento secuencial (cintas o sistemas evolucionados de ellas). Y básicamente por el aspecto de los costes de los sistemas de acceso aleatorio que tradicionalmente han sido superiores a los de acceso secuencial.

Sin embargo, desde hace años, esto está cambiando y el coste del almacenamiento de acceso directo ha caido en picado. Ahora es más importante considerar la fiabilidad de los sistemas, y la probabilidad de que se produzcan fallos, con la consiguiente pérdida de la información. La velocidad de acceso adquiere una relevancia distinta, y la redundancia a través de sistemas RAID pasa a ser un requisito de los nuevos sistemas. El almacenamiento de estado sólido ha dejado de ser una promesa y forma parte de la panoplia de recursos de almacenamiento en contextos en los que prima la velocidad y la fiabilidad, si el coste tiene menos relevancia.

Pero cada vez se generan, se almacenan y se procesan más datos, y cada vez más datos tienen que estar disponibles para más personas y más dispositivos que acceden a ellos.  Según palabras de Eric Schmidt, Director General de Google:  “desde el origen del nacimiento del mundo hasta el año 2003, se generaron cinco exabytes de información. Ahora creamos cinco exabytes cada dos días”.

Recordemos que el exabyte es la unidad de medida de  almacenamiento de información (cuyo símbolo es el EB), equivalente a 10¹⁸ bytes y que la secuencia de métricas de almacenamientos (de mil en mil o de 1024 en 1024 según se emplee la terminación “bibyte“) es la siguiente: kilobyte (kB) 10³, megabyte (MB) 10⁶, gigabyte (GB) 10⁹, terabyte (TB) 10¹², petabyte (PB) 10¹⁵, exabyte (EB) 10¹⁸, zettabyte (ZB) 10²¹, yottabyte (YB) 10²⁴ .

Big Data y el Cartulario Electrónico

En los sistemas de gestión que manejan evidencias electrónicas, los retos son aún más exigentes. Los datos tienen que estar disponibles en los momentos claves, en los que se requiere su carácter de prueba, y esto puede implicar responsabilidades en muchos casos.

Un sistema como el gestionado por EADTrust, requiere muchos componentes: PKI que respalda la identidad de los diferentes módulos e intervinientes, sistemas generadores de sellado de tiempo sincronizados con el ROA que trabajan a alto rendimiento proporcionando sellos de tiempo a sistemas internos y externos, logs estructurados que permiten localizar las evidencias en caso de resolución de litigios, frecuentemente incorporados a actas de funcionamiento e informes periciales, servidores de firma centralizada generando firmas XAdES-XL y PAdES-LTV, HSM (Hardware Security Modules) que custodian las claves privadas, manejadores de metadatos y uno de los elementos clave: el cartulario electrónico.

El Cartulario Electrónico es un sistema de Custodia Digital Masiva de caracter probatorio.

El Cartulario Electrónico es el equivalente electrónico en un sistema privado del Protocolo Notarial, de los fedatarios públicos. Consiste en una colección ordenada de documentos electrónicos, localizables con varios criterios (especialmente el CSV, Código Seguro de Verificación) y que guarda información complementaria en metadatos estáticos y dinámicos que se refieren a aspectos como la endosabilidad, la obliteribilidad o la completitud (llamada, a veces, grapa electrónica).

El Cartulario Electrónico está formado por una Matriz Electrónica de documentos (sobre los que cabría entender que puede aplicarse el difuso concepto de “original“), y un mecanismo de índices que permite localizarlos y actuar sobre ellos para añadir capas, acceder a su contenido final o al de una de las versiones, hacer anotaciones, referenciar otros documentos o referenciar expedientes.

Filosóficamente, el cartulario debe guardar la información para siempre, salvo que por motivos legales deba de ser eliminada, y aun en ese caso, habrá que diferenciar si la eliminación es un borrado o el marcado de una imposibilidad de acceso. Contractualmente, sin embargo, la información se conserva solo durante el período requerido, cuando se presta como servicios de custodia digital para terceros.

Y ese es el reto que apasiona a los técnicos de EADTrust. Los volúmenes actuales de documentos y metadatos gestionados en el Cartulario Electrónico de EADTrust, permiten prever que durante los próximos cinco años la infraestructura desplegada no tendrá problema de gestión a ritmos normales de prestación de servicios. Pero ¿qué sucederá si los servicios de custodia digital, de publicación  fehaciente o de notificaciones fehacientes deben manejar ritmos de transacción de decenas de millones o centenas de millones de documentos por año? Documentos de 100 Kb o de 10Mb, con versiones y enlaces entre ellos.  Con planos, o documentos aministrativos, o contratos, o mensajes, o adjuntos, o libros, o actas,…

Y lo cierto es que algunos de los clientes con los que estamos hablando, podrían perfectamente generar esos volúmenes de operaciones.

Más referencias sobre Big Data

• Big Data: una pequeña introducción
• Ha nacido otro cliché: Big Data
• Toda agencia de gobierno necesita una estrategia para Big Data
• El año del Big Data
• La revolución del Big Data dio comienzo… ¿están todos listos?
• Los Grandes Números
• Big data: la próxima frontera
• ¿Qué es el Big Data?
• Big Data, manejando grandes cantidades de datos.
• Mayo 31, 2011. ¿Big Data?
• Gray Data e Inteligencia de los Negocios
• El desafío del “big data”, más que sólo grandes volúmenes de datos

Firma Electrónica en Arquitectura SOA

El 17 de Noviembre de 2011  se celebrará en Madrid el curso de “Firma Electrónica en Arquitecturas SOA. Servicios PKI”, que impartiré junto con Fernando Pino. Lo organiza Atenea Interactiva.

Una excelente oportunidad para conocer como se gestiona la firma electrónica en servidor para poder aplicar de forma segura las políticas de firma de la empresa o de las administraciones públicas. Ahorros significativos de costes y optimización de la seguridad respecto al uso de tarjetas de firma electrónica que se comparten o se pierden. Y con las mejores prácticas para la gestión de firmas electrónicas  automatizadas.

Programa del Seminario Firma Electrónica en Arquitectura SOA

1. Service-oriented Architecture

• Iniciación a SOA
• Descripción de entornos típicos de SOA

2. Cumplimiento de obligaciones con SOA

• Sector Privado: cumplimiento de las obligaciones de Interlocución Telemática de la Ley 56/2007 con SOA
• Sector Público: cumplimiento de las obligaciones de Administración Electrónica de la Ley 11/2007 con SOA
• Factura electrónica firmada.

3. Conceptos de Firma Electrónica y PKI

• Propiedad de la Firma Electrónica
• Conceptos Criptográficos
• Los Certificados Electrónicos. Tipos
• El proceso de Firma Electrónica
• Legislación

4. La Firma Electrónica como elemento de Arquitectura

• La Firma Electrónica como servicio
• Servidores de Firma y Validación
• Repositorios de claves centralizadas
• Despliegue de PKIs internas
• Dispositivos criptográficos. HSM

5. Servicios avanzados de PKI

• Firmas remotas y “upgrade” de firmas
• Servicios de Validación de firmas y certificados centralizados. CRL, OCSP, SCVP
• Servicios de Sellado de Tiempo
• Firma en entornos móviles: posibles enfoques
• Firma manuscrita digitalizada y servicios PKI avanzados. Unión necesaria

6. Formatos y estándares de firma

• Tipos de Firma “legales”
• Formatos básicos
• Formatos AdES. XAdES, CAdES y PAdES
• Estándar DSS (Digital Signature Services). Descripción y perfiles
• Firmas longevas, la importancia de la firma en la conservación de documentos
• La importancia de las políticas de firma

7. Firma e Identidad Electrónica en las Administraciones Públicas

• La Firma Electrónica en la Ley 11/2007, el ENI y el ENS. Norma CCN-STIC-807
• Procesos de firma automatizados. Sello de órgano y CSV
• Servicios de Firma y Validación disponibles para Administraciones Públicas
• Identidad Digital y Administración Pública
• Políticas de firma en las AAPP. Descripción y Diseño
• Interoperabilidad. TSLs. Proyecto Stork