Firma electrónica en web mediante java e Interoperabilidad en la eAdministración


Una de las conclusiones del reciente CNIS 2015 ha sido para mi el anuncio del fin de la firma electrónica en web mediante java.

Es algo que predico siempre que puedo, pero ahora la idea tiene el refrendo de la Agencia Tributaria.

Sostengo que la firma electrónica en web, incluso cuando está bien implementada, define un entorno inmanejable para el desarrollador de software que debe preocuparse de múltiples variantes y versiones de sistemas operativos (con especial mención a las de 32 y 64 bits), de navegadores web y de java. Y cada versión de java implica, casi seguro, que deja de funcionar lo que antaño funcionaba. Y como se actualiza habitualmente de forma automática, a veces resulta inexplicable para los usuario que lo que ayer funcionaba hoy no funcione.

Curiosamente, la mala costumbre de solicitar la firma en web se extiende a casi toda la administración pública, con módulos “web signer” por diestro y siniestro, hasta el punto que de la propia iniciativa @firma han surgido implementaciones de firma en cliente web usadas por todas partes, especialmente al acceder a las funcionalidades de registro de entrada en las sedes electrónicas de los organismos.

Si pensamos un poco en que la Ley 30/1992 permite que cualquiera pueda presentar la documentación en los registros y que la identidad del solicitante se indica en el escrito y se confirma con su firma en el documento, cualquier cosa más complicada que eso en Internet es poner trabas innecesarias al ciudadano. Por otro lado, en el marco de la Ley 30/1992 cabe la posibilidad de subsanar cualquier carencia de la solicitud, por lo que no sería preciso desplegar sistemas de registro complicados si cabe la posibilidad de hacerlo de forma sencilla y solicitar al usuario, por ejemplo, subsanar la carencia de una correcta identificación si el documento PDF aportado no estuviera correctamente firmado electrónicamente.

Esta es mi propuesta para las administraciones públicas: desplegad registros telemáticos sencillos, con formularios simples y sin requerimiento de firma, de modo que se pueda subir a ellos documentos PDF firmados electrónicamente, considerando que existen muchas herramientas gratuitas y eficientes para firmar electrónicamente tales ficheros PDF.

¿Cómo evolucionan las TSL europeas?


Ayer incluía en este blog la actual relación de TSL europeas que determinan los certificados que deben aceptarse en España y en todos los demás países europeos. Hace unos años, en 2011 ya preparé otra información parecida titulada EU Trusted Lists of Certification Service Providers

Son 2 muestras de mi larga cruzada para difundir el sistema de entre los estandarizados que mejor permite resolver el problema de conocer los Prestadores de Servicios de Certificación que merecen la confianza de los sistemas informáticos.

Así y todo, creo que el sistema es imperfecto, y además está mal implementado.

Todavía recuerdo retazos de una larga charla telefónica que tuve hace muchos años con Francisco Jordán, uno de los expertos españoles en certificación digital, puede que fuera en 1.999. Seguramente el ya no se acordará. Le contaba una idea que yo tenía de que el inicio de la confianza de las jerarquías de certificación pudieran gestionarse con listas nacionales gestionadas por los supervisores, con una técnica semejante a la de los DNS o LDAP. Los ordenadores, navegadores y programas que usan o admiten certificados (firmas, autenticaciones,…) tendrían una personalización nacional que además de tener en cuenta el idioma, la moneda, la fecha del cambio de hora equinoccial, la configuración del teclado o la forma de reflejar las fechas incluiría elementos esenciales hoy en día como la URL de sincronización horaria nacional (el servicio NTP que en España fue hora.roa.es y en Estados Unidos time.nist.gov) y la lista de confianza de CAs admitida a nivel nacional (construida con las de todos los países con un nivel de supervisión equivalente).

Lo más parecido a eso que tenemos en la actualidad son las listas TSL nacionales partiendo de la lista de listas, si bien su efectivo uso todavía requiere de cierto procesamiento manual.

Un detalle interesante comparando las dos listas, separadas casi cuatro años (se actualizan cada 6 meses) es que no son uniformes ciertos aspectos que deberían serlo.

Por ejemplo, incluir ficheros con la extensión ZIP para las listas en PDF no me parece una buena práctica. No se ahorra mucho espacio y el uso de ficheros comprimidos es una invitación a los rastreadores de los buscadores para que no indexen su contenido.

Algunos países hacían referencia a ficheros que incluían espacios en la denominación. Eso ya se ha corregido en las listas recientes.

Otro aspecto preocupante es el aparente cambio de organismo supervisor (el que publica las listas) en algunos países, incluido España. Por ejemplo, Finlandia, Eslovenia, Holanda, Luxemburgo,…

Algunos países incluyen solo una de las dos listas nacionales en la europea, unas veces la XML y otras la PDF. Se supone que todos tienen las dos listas. Además el criterio parece que va cambiando a lo largo del tiempo.

En mi opinión el manejo de URL más adecuado es el que hace Bélgica, y que debería ser copiado por todos los países:

Según este modelo, las TSL de España deberían figurar como:

Y lo mismo para el resto de países.

Yo incluiría en en las TSL una información que me parece crítica: la dirección (URL) de los servicios OCSP de cada prestador de servicios de certificación. Es una pena que en la última versión que yo he mirado de la norma ETSI TS 102 231 ni siquiera existe la posibilidad de incluir esa información por restricciones del estándar.

Nuestras esperanzas están puestas en la futura norma ETSI TS 119 612 Electronic Signatures and Infrastructures (ESI); Trusted Lists que incluye extensiones opcionales (para mi obligatorias) al respecto, como expiredCertsRevocationInfo, y que deberá evolucionar para incluir los servidores OCSP de todos los Prestadores de Servicios de Confianza Digital (PSCD) cualificados que expidan certificados cualificados.

¿Donde están las TSL europeas?


La recientemente publicada Ley 15/2014 señala:

En lo que respecta a la firma electrónica en la Administración pública, se modifica la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, para asegurar el uso de una única relación de certificados electrónicos reconocidos en todas las Administraciones Públicas, de manera que se liberen recursos administrativos para otros fines más productivos y se eliminen los costes y cargas que su aceptación en cada Administración Pública supone para los prestadores de servicios. Esa lista será la lista de confianza de prestadores de servicios de certificación establecidos en España que mantiene el Ministerio de Industria, Energía y Turismo, que contiene, de manera diferenciada, los certificados electrónicos reconocidos correspondientes a los sistemas de firma electrónica avanzada admitidos por las Administraciones Públicas. Dicha lista sustituye a las relaciones de prestadores de servicios de certificación que cada Administración puede crear en la actualidad, por lo que decae la necesidad de publicarlas a que se refería el artículo 15.2 de la Ley 11/2007, de 22 de junio.

Aunque no es objeto de la regulación contenida en la presente disposición, debe tenerse en cuenta que se está tramitando un Reglamento europeo sobre identificación electrónica y servicios de confianza para las transacciones en el mercado interior, que obligará a las Administraciones Públicas a admitir también los certificados electrónicos reconocidos emitidos por prestadores de servicios que figuren en las listas de confianza de otros Estados miembros de la Unión Europea en los términos que prevea dicha norma comunitaria, por lo que las Administraciones Públicas deberán ir planteándose la adaptación de sus sistemas a dicha circunstancia, contando para ello con el sistema nacional de verificación de certificados electrónicos en las Administraciones Públicas.

Lo cierto es que a la fecha de publicación en el BOE de dicha norma (el 17 de septiembre de 2014) ya se había publicado el Reglamento UE 910/2014 (en el DOUE  núm. 257, de 28 de agosto de 2014) por lo que ya es de aplicación la obligación de aceptar los certificados recogidos en todas las TSL europeas-

¿Como encontrar todas las TSL?  No es difícil. Seguidamente las indicaré. Agradecería que en lo comentarios incluyáis, quienes la sepáis, la respuesta a la pregunta ¿Como encontrar todas las TSL? porque existen varios métodos.

Austria

Bélgica

Bulgaria

Chipre

Chequia

Alemania

Dinamarca

Estonia

Grecia

España

Finlandia

Francia

Croacia

Hungría

Irlanda

Islandia

Italia

Liechtenstein

Luxemburgo

Latvia

Malta

Holanda

Noruega

Polonia

Portugal

Rumanía

Suecia

Eslovenia

Eslovaquia

Reino Unido

 

José María Pérez Soria y Altercore


Por estas fechas he coincidido con José María, al que conozco desde hace muchos años y hemos visto que hay posibles ámbitos de colaboración entre nuestras empresas Altercore y EADTrust.

Luego, al buscar más información por Internet, he visto esta entrevista que le hicieron en innovaspain y cuyo autor es Borja Ramos:

José María Pérez Soria, CEO de Alter Core

Jose Maria mostrando el codigo Bidikey en un movil

“Damos a las personas la posibilidad de proteger sus sistemas contra posibles invasores”

Licenciado en Ingeniería de Telecomunicaciones por la Universidad Politécnica de Madrid (UPM), José María Pérez Soria, es también licenciado en Derecho por la Universidad de Alcalá de Henares (UAH) y posee un máster en dirección y gestión de la innovación.

Ha desarrollado su carrera profesional en diversas empresas relacionadas con los sectores de Banca, Finanzas e Industria, entre las que cabe citar Visa España, y desde hace tres lustros se ha desenvuelto en la labor de emprendedor en serie, siendo en la actualidad fundador y CEO de “ALTER CORE”, una plataforma donde desarrollan soluciones de autenticación y gestión de identidades digitales basadas en la utilización de dispositivos personales para el acceso seguro a servicios, tanto en entornos online como presenciales.

En estos momentos, la seguridad es uno de los mayores quebraderos de cabeza a la hora de realizar transacciones móviles. Por ello, la plataforma desarrollada por ALTER CORE ha sido implementada para acabar con esta problemática y ofrecer la posibilidad de proteger los sistemas contra posibles atacantes.

“Básicamente, utilizamos tecnología avanzada para establecer protocolos de seguridad en los dispositivos móviles que garanticen de forma sencilla la identidad de los usuarios que los utilizan, haciendo innecesario el uso de otros tipos de credenciales como las contraseñas o las tarjetas identificativas de clientes”, nos explica. “Se trata de criptografía avanzada que, además de facilitar la autenticación personal mediante la generación de firmas electrónicas, protege la información del interior de los dispositivos móviles, así como los canales de datos, haciéndola inmune a los accesos no autorizados, incluyendo cualquier tipo de malware”, prosigue.

De esta forma garantizan a los usuarios la confidencialidad, integridad y autenticidad de la información que discurre por los diferentes canales de comunicación que utilizan a diario, blindando sus dispositivos ante las amenazas de terceros. “Nuestros servicios de autenticación están enfocados indistintamente tanto para las pymes como para grandes multinacionales, ya que la necesidad de seguridad es universal y nuestra solución es aceptada en el mercado global por cualquier tipo de empresa”. El directivo recalca que el impacto que tendría su instalación en los sistemas actuales es mínimo, ya que únicamente sería necesario disponer de una conexión a la “Plataforma BidiKey”, que también ha sido implementada por la propia compañía.

Generacción e Internacionalización

Recientemente, han entrado a formar parte del Programa Generacción, la iniciativa impulsada por Deloitte que reconoce los proyectos emprendedores más importantes de España. Por este motivo,  muestra su orgullo por haber podido acceder a la iniciativa. “La selección de ALTER CORE supone, por una parte, el reconocimiento del arduo trabajo realizado por el equipo de profesionales que integran nuestra empresa, requerido para lograr los objetivos propuestos y, por otro lado, la oportunidad de aportar una gran visibilidad a la nuestra compañía, que ya de por sí cuenta con una eficiente proyección al mercado de todos nuestros productos”.

La plataforma se extiende por Latinoamérica, “donde nuestra tecnología ha tenido una muy buena acogida”, y donde están concretando diversos acuerdos estratégicos. “Empezando por Centroamérica, estamos desplegando diferentes servicios de autenticación orientados, entre otros, a los sectores de Banca (banca electrónica, accesos presenciales y reintegros en cajeros automáticos), Administraciones Públicas (votación electrónica) y Ocio (fidelización de clientes de clubes de ocio y deportes)”.

Fórmula para el calculo de intereses de demora en facturas pagadas fuera de plazo


La Ley 11/2013 de 26 de julio modificó nuevamente la Ley 3/2004, de 29 de diciembre, por la que se establecen medidas de lucha contra la morosidad en las operaciones comerciales. En el texto consolidado de esta Ley se indica que las facturas se deberán pagar como máximo a los 30 días de la factura o de la comprobación del efectivo suministro del producto o de la prestación de servicio, o, si las partes lo pactan, en los días que efectivamente se pacten, que serán como máximo,  60 días desde la fecha de la factura.

En caso de que el pago se realice con posterioridad a la fecha pactada (o los 30 días si no se pacta), el deudor o pagador debe incrementar por su cuenta (sin necesidad de que el acreedor lo solicite) la cuantía del pago.

Formula-interesesPara el cálculo de la cuantía se parte del importe a pagar, del retraso en días a contar desde el día siguiente al límite de pago hasta el momento de pago y del interés legal del dinero a estos efectos.

Por ejemplo, supongamos una factura cuyo importe a pagar fue  de 1000 euros (IVA incluido), que el plazo convenido de pago fue de 60 días, pero que el pago se produjo efectivamente el dia 132 a contar desde el día siguiente a la fecha de factura. Restando 60 de 132: 72 días adicionales a los pactados (que son como máximo, 60).

El retraso de pago se produjo en el segundo semestre de 2013, por lo que el tipo a pagar es el porcentaje 8,5%

El incremento a pagar es de 16,7671232876712 euros (redondeado, 16,77). Este importe se ha aplicado sobre el total de factura, por lo que se desglosará su IVA para su contabilización.

Además, el deudor debe añadir el pago de otros 40 € por los gastos generados por la gestión de recobro de la factura, según se señala en el artículo 8 de la Ley 3/2004 (según la versión consolidada tras la publicación de la Ley 11/2013). El artículo indicado permite que la cantidad sea mayor si la reclama el acreedor bajo el concepto de indemnización por todos los costes de cobro debidamente acreditados que haya sufrido a causa de la mora del deudor y que superen la cantidad indicada de 40 euros.

Agenda de la Jornada “Medios de Pago y Movilidad para e-Commerce” de Ametic


Ayer comenté la celebración, el próximo dia 23 de marzo de 2015 del evento de Medios de Pago de la Comisión de Comercio Electrónico de AMETIC, que presido.

El evento se celebrará en el Salón de Actos de la SETSI (Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información) sito en Capitán Haya, 41 (28020 Madrid), gracias al auspicio del Ministerio de Industria, Energía y Turismo.

El evento cuenta con el Patrocinio de PwC PricewarerhouseCoopers y esta es la Agenda prevista:

9:15 h. Inscripción
9:30 h. Apertura de la Jornada

Modera: Amalia Pelegrín, Directora de Nuevos Modelos de Negocio
Julián Inza, Presidente Comisión Comercio Electrónico de AMETIC
Cristina Morales Puerta, Subdirectora General de Contenidos de la Sociedad de la información de MINETUR
Carmelo Javier Muñoz Ruiz, Director ONTSI

10:15 h. Cuestiones legales

Modera: Julián Inza
“Implicaciones regulatorias y fiscales en medios de pago y movilidad para e-commerce”
Carlos Martínez de Aragón, Director – Departamento de Regulación Bancaria y Financiera de PwC Tax & Legal Services
Augusto Berutich, Socio Responsable de Fiscalidad del e-Commerce de PwC Tax & Legal Services

10:45 h. Medios de pago

Modera: Amalia Pelegrín
“El poder del móvil: usuarios que quieren pagar”
José María Martín, Consejero Delegado de MYMOID
“¡Iupay!. La cartera digital doméstica”
Javier Querejeta, Director Comercial de REDSYS
“Qué tener en cuenta al seleccionar la pasarela de pago de comercio electrónico”
Jorge Sorial, Experto en Medios de Pago

11:30 h. Pausa café.
Patrocinado por PwC
12:00 h. Nuevas formas de pago: TPV’s y cartera en la nube

Modera: Julián Inza
“Nuevos métodos de pago”
Estanis Martín de Nicolás, Director General de PayPal España y Portugal
“Tpv móvil: Acercando el punto de cobro al punto de venta”
Juan Luis Arroyo, Product Manager de TPV Móvil de TELEFÓNICA

12:30 h. Innovación

Modera: Amalia Pelegrín
“La expansión de NFC en el transporte público”
Alberto López, Responsable Desarrollo de Negocio M2M de TELEFÓNICA
“Innovación en MMPP para e-Commerce”
Jorge Ordovás, Director de Innovación de Medios de Pago de FORO DE ECONOMÍA DIGITAL
“Vodafone Wallet: del pago a la compra”
Ibo Sanz, Responsable mCommerce de VODAFONE
“Servicios dinamizadores del pago móvil”
Alicia Calvo, Directora de Innovación de ORANGE

13:30h. Clausura
Benigno Lacort, Director General de AMETIC

Jornada Medios de pago y movilidad para e-commerce – 24 de marzo de 2015


La Comisión de Comercio Electrónico de AMETIC 0rganiza el próximo 24 de marzo de 2015 una Jornada de Medios de pago y movilidad para e-commerce que tendrá lugar en el Salón de actos de la SETSI c/ Capitán Haya, 41 Madrid. La asistencia es gratuita gracias al patrocinio de PWC.

Formulario de inscripción

Banner

En nuestros días, uno de los principales retos del comercio es ofrecer una experiencia integrada, en la que el consumidor pueda tener acceso a los productos y medios de pago de la manera más sencilla.

En los últimos años, los métodos de pago para eCommerce se han multiplicado. Ya no sólo nos encontramos con las formas más tradicionales como las tarjetas de crédito. Ahora los ciudadanos disponen de múltiples sistemas a través de ordenadores fijos como mediante dispositivos móviles. Lo importante es ofrecer una experiencia integrada, independientemente del punto de contacto en el que estemos conectando con el consumidor, de manera que el mismo pueda tener acceso a los productos y medios de pago de la manera más sencilla

El próximo 24 de marzo AMETIC organiza, bajo el amparo de su Comisión de Comercio Electrónico, la Jornada “Medios de Pago y Movilidad e-Commerce”, que tendrá lugar en el Salón Actos de la Secretaría de Estado y para la Sociedad de la Información del Ministerio de Industria, Energía y Turismo a las 9,15 horas, desde donde se analizará el auge en el sector e-commerce de las pasarelas de de pago, nuevos TPVs o carteras en la nube.

La asistencia a la Jornada es gratuita, gracias al patrocinio de PwC, siendo necesaria la inscripción previa a través del siguiente formulario.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 2.617 seguidores