Archivo del Autor: inza

Acerca de inza

Presidente de EADTrust. Pionero de la certificación digital y de la banca electrónica fue Director General de Camerfirma y de FESTE y Director en Banesto, BBVA y Mobipay. En la actualidad colabora en la modernización de la justicia.

Invitación abierta – Grupo de Trabajo de AMETIC – Buenas prácticas en el campo de la video-identificación y el video onboarding


El próximo lunes 12 de noviembre se celebrará a las 12:00 una reunión en AMETIC para constituir un Grupo de Trabajo de Identidad Digital que yo presido y que excepcionalmente está abierto a entidades que no sean miembros de AMETIC.

El objetivo del grupo es elaborar un documento titulado provisionalmente “Guidelines o buenas prácticas en el campo de la video-identificación y el video onboarding” orientado a prestadores de servicios de certificación en el marco del EIDAS y a entidades financieras y otras de los ámbitos FinTech e Insurtech que vean útil contar con un procedimiento consensuado que refleje las mejores prácticas en identificación remota de usuarios, alineadas con la normativa de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.

En el Grupo de Trabajo de Identidad Digital de AMETIC se compartirá la información pública difundida en el marco de las actividades del Grupo de Expertos de la Comisión Europea sobre técnicas de “Conoce a tu Cliente”, del que formo parte y del que se puede ver más información en este enlace:

Este grupo de expertos europeo ha tenido varias reuniones los pasados meses (9 de abril y 10 de julio) y un Taller (Workshop with providers of remote on-boarding solutions) el 28 de septiembre. La tercera reunión formal del grupo tiene lugar mañana 9 de noviembre en Bruselas, por lo que en la reunión del lunes 12 de noviembre podremos trabajar con la información más reciente en lo que se refiere a los avances en Europa.

  El objetivo de este artículo es invitar a las entidades interesadas a participar en este Grupo de Trabajo. Si lees este artículo y piensas que alguien pueda estar interesado, házselo llegar. Esta invitación se puede hacer extensiva a otras personas y entidades.

Para confirmar la asistencia, llamar lo antes posible a AMETIC (Madrid: 915 90 23 00, Barcelona: 93 241 80 60).

La dirección de AMETIC es:

  • Principe de Vergara, 74, 4ª planta – 28006 Madrid.

Para los que os vaya mejor Barcelona:

  • Avda. Sarriá, 28, 1º- 1ª – 08029 Barcelona.

Ambas sedes están conectadas por un sistema de videoconferencia

Empresas españolas con soluciones de Videonboarding e Identificación remota


Estoy recopilando información de empresas que ofrecen soluciones de identificación a distancia y “video onboarding”, y ya he identificado unas cuantas:

  • Lleidanet – eKYC Onboarding
  • Deloitte – OBA (Onboarding App)
  • Ecertic – KYDC (Know Your Digital Customer)
  • Electronic Identification (electronicID) – VideoID
  • ICAR vision (Mitek) – IDMobile
  • Branddocs  – TrustCloud VídeoConferencia

En estos momentos el interés por este tema es superior porque participo en el Grupo de Expertos de la Comisión Europea sobre técnicas de “Conoce a tu Cliente”, y las empresas identificadas con posibilidad de prestar estos servicios se incluirán en un informe disponible para la Comisión Europea y para las entidades participantes en los trabajos.

Así que aprovecho este articulo para pedir a quienes conozcan entidades que prestan estos servicios o los incorporan en sus estrategias (como las entidades financieras) que me hagan llegar la información suficiente para identificarlas.

 

Las elecciones de AMETIC y los candidatos


El pasado 4 de julio de 2018, AMETIC, la patronal española de la industria digital, celebró su Asamblea General. En ella se aprobaron por unanimidad los Estatutos reformados y se comenzó una nueva etapa en la que se han ido renovando todos los órganos directivos de las comisiones.

La finalidad de la modificación estatutaria fue la de modernizar el funcionamiento de la Asociación, a través de distintas vías como: simplificar la estructura del Gobierno Corporativo y mejorar la representación de los asociados en la Junta Directiva; aumentar aún más la transparencia en la toma de decisiones; enriquecer la forma de trabajar de la Asociación; eliminar cargas administrativas, y establecer una manera de resolución de conflictos en caso de ausencia de consenso en las Comisiones de trabajo.

En lo que se refiere al derecho a voto de los asociados (aspecto que fue motivo de polémica con las empresas que abandonaron AMETIC el año anterior), tras un trabajo interno muy participativo se ha optado por un sistema que, conservando el principio de “una empresa, un voto”, otorga una representación ponderada en la Junta Directiva, por colectivos en función del tamaño de las empresas, así como una presencia directa de todos los presidentes de las Comisiones, resultado de procesos electorales específicos.

La Junta Directiva estará integrada por 64 personas, los presidentes de las 19 comisiones (elegidos a su vez por todos los miembros de estas comisiones con el criterio “una empresa, un voto”) y los 45 representantes elegidos por las cuatro categorías de colectivos -empresas grandes, mediana, pequeñas, y asociaciones adheridas.

Las asociaciones cuentan con 3 representantes, mientras que el número de representantes de las empresas grandes, medianas y pequeñas está determinado por la contribución económica del segmento al sostenimiento de la asociación en el momento en que se celebren las elecciones. En las elecciones de 2018, 20 representantes las empresas grandes, 13 las medianas y 9 las pequeñas empresas y micropymes .

La Asamblea General Extraordinaria para elegir los Vocales de la Junta Directiva se celebrará el próximo día 7 de noviembre de 2018, a las 12:00 horas, en el Salón José María Cuevas de CEOE, C/ Príncipe de Vergara, 74, 28006 Madrid.

En estas elecciones no se admite el voto por correo. El voto se realiza presencialmente o mediante delegación de voto.

En cada papeleta deberán marcarse tres candidatos, siendo nulas las papeletas que no cumplan con este requisito. En caso de empate se procederá a otra votación, hasta que se consiga elegir al candidato ganador. Si el número de candidatos no alcanzara el número de representantes que corresponde de cada colectivo de empresas no será necesario realizar la votación y todos los candidatos formarán parte de la Junta Directiva de manera directa.

Se consideran MICROPYMES las empresas que cuentan con hasta 9 empleados y alcanzan 2 millones de euros de facturación. Las PEQUEÑAS empresas tienen hasta 49 empleados y menos de 10 millones de euros de facturación. Las MEDIANAS empresas tienen hasta 249 empleados y hasta 50 millones de euros de facturación y la GRAN empresa tiene más de 250 empleados y supera los 50 millones de euros de facturación.

Como se ha indicado, por su peso en las aportaciones de cuotas en la asociación, las empresas grandes contarán con 20 representantes, las medianas con 13 y las pequeñas empresas y micropymes con 9. Además las asociaciones y federaciones afiliadas cuentan con 3 representantes.

Es en este contexto en el que TCAB (Trust Conformity Assessment Body) presenta su candidatura para representar a las empresas PEQUEÑAS y MICROPYMES.

Puede ver en la web de TCAB el artículo sobre la candidatura de TCAB en las elecciones de AMETIC

El nodo español #EIDAS de gestión de identidades europeas explicado por Aleida Alcaide


El nodo EIDAS permite el reconocimiento de identidades electrónicas gestionadas en un país para que se puedan hacer efectivas en otro.

Por ejemplo, que un español pueda usar su DNI electrónico en trámites de otros países.

Y a la inversa, que un ciudadano alemán o italiano pueda usar su sistema nacional de identidad digital para trámites en las administraciones españolas.

He tratado estos temas en estos artículos:

En estos dos vídeos podemos disfrutar de una descripción sencilla de su utilidad gracias a Aleida Alcalde

¿Qué es el nodo eIDAS?, ¿qué AAPP tienen que adaptarse a este reglamento?

¿Cómo se conectan los organismos públicos al nodo eIDAS?, ¿habrá sanciones si no se conectan?

Construyendo el futuro digital con #EIDAS


En un mundo globalizado y en plena transformación digital, la seguridad de las transacciones y las comunicaciones es más necesaria que nunca.

La gestión de la identidad digital y la preservación de evidencias electrónicas resuelve la digitalización de la última milla cartácea: esos aspectos que las entidades se resisten a gestionar digitalmente porque dudan de si serán capaces de ejercer el derecho a la prueba de otra forma que no sea en papel.

Recientemente InfoCert uno de los principales Prestadores de Servicios de Confianza Digital europeos y con sede en Italia ha entrado en el capital de Camerfirma, entidad que tuve el honor de dirigir hace 15 años, y que opera en directa colaboración con las Cámaras de Comercio.

Juntas, ambas entidades atesoran una oferta de servicios destinada a promover la Confianza Digital única en el mundo y una sólida presencia en diferentes mercados de diferentes continentes, lo que permite aventurar que se está formando un campeón de escala global con origen europeo.

Infocert-Camerfirma

El próximo 17 de Octubre 2018 a las 10:00 nos invitan en la Cámara de Comercio de España (C/Ribera del Loira 12, Madrid) a su presentación conjunta y con acompañamiento de relevantes personalidades relacionadas con la economía digital

La secretaria de Estado de Comercio, Xiana Méndez, y el responsable de Administración Electrónica y Confianza de la Comisión Europea, Andrea Servida, participarán en la jornada, bajo el título “Construyendo el futuro digital”, y a buen seguro nos actualizarán sobre el contexto de negocio digital promovido por el desarrollo del Reglamento UE 910/2014 (EIDAS).

En esta jornada se analizarán las oportunidades y retos que se plantean a las empresas en el marco del  Mercado Único Digital.

Para inscibirse, hay que acceder al sitio web de evento.

Directiva PSD2 y certificados #eIdAS de Proveedores de Servicios de Pago


Ya se han tratado en este blog algunos aspectos relevantes sobre la Directiva (UE) 2015/2366 sobre servicios de pago en el mercado interior, también conocida como Directiva PSD2 (Segunda Directiva de Servicios de Pago).

En uno de los artículos del blog, de marzo de 2017 dedicado al Borrador Final de los Estándares Técnicos Regulatorios  (Final Draft Regulatory Technical Standards) y #eIdAS me atreví a vaticinar  como serían los perfiles de los certificados cualificados de los PISP (Servicios de iniciación de pagos) y de los AISP (Servicios de información sobre cuentas), y en especial la asignación del número identificativo al que se refiere la norma EN 319 412.

En la actualidad ya se ha publicado una norma técnica en estado de borrador que aterriza los conceptos necesarios para emitir los certificados cualificados a las Fintech que operen en el contexto de la PSD2. Se trata de la norma TS 119 495 titulada en inglés:

Sector Specific Requirements; Qualified Certificate Profiles and TSP Policy Requirements under the payment services Directive (EU) 2015/2366

Y unos pocos Prestadores de Servicios Electrónicos de Confianza están considerando su emisión.

La Segunda Directiva de Servicios de Pago favorecerá el crecimiento del mercado europeo de pagos electrónicos y armonizará el marco legislativo europeo aún fragmentado, tras la publicación de diferentes normas emitidas por cada Estado miembro en la transposición de la Primera Directiva de Servicios de Pago (Directiva 2007/64 / CE), que conlleva riesgos potenciales para la seguridad de los pagos y para la protección de los consumidores.

En el despliegue armonizado de la Segunda Directiva, los servicios de confianza definidos por el Reglamento UE 910/2014 (EIDAS)  no han recibido suficiente atención.

Uno de los aspectos clave de la Directiva PSD2 es la identificación electrónica confiable de los actores involucrados en una transacción de pago electrónico. En este marco regulatorio se ha definido por la Autoridad Bancaria Europea (EBA) un reglamento técnico específico que hace necesaria la “Autenticación fuerte del cliente” (SCA, Strong Customer Authentication) del pagador, que debe identificarse de manera confiable. Para este requisito, todos los proveedores de servicios de pago (PISP y AISP) deben acceder a las cuentas de pago o ejecutar órdenes de pago solo después de una autenticación fuerte del cliente en base a técnicas de doble factor de autenticación (2FA). 

Esta medida ha tenido una fría acogida por parte de los proveedores de servicios de pago que la ven como una amenaza para la experiencia de usuario del ordenante de pagos, frente a variantes que simplifican la interfaz añadiendo un simple botón de  “pago con un  clic” y la mínima fricción en la autenticación.

Aunque volveré sobre el tema de la autenticación de usuarios, hoy quería tratar sobre la identificación de los Prestadores de Servicios de Iniciación de Pagos y de Información sobre cuentas, para actualizar mi sugerencia de 2017 con lo que finalmente se ha plasmado en la norma de ETSI:

El atributo organizationIdentifier contendrá la información de identificación de la entidad  utilizando la siguiente estructura:

  • “PSD” como referencia de tipo de identidad de persona jurídica de 3 caracteres;
  • código de país de 2 caracteres ISO 3166 que representa el país del organismo supervisor;
  • guión-signo menos “-” (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de organismo supervisor de 2-8 caracteres (mayúscula A-Z solamente, sin separador)
  • guión-signo menos “-” (0x2D (ASCII), U + 002D (UTF-8)); y
  • Identificador de PSP (número de autorización según lo especificado por el organismo supervisor).

EJEMPLO: El identificador de organización “PSDES-BDE-0182” significa un certificado emitido a un PSP para el que el número de entidad es 0182, otorgada por el Banco de España. España (el identificador después del segundo guión lo establece el sistema de numeración español).

Vulnerabilidades de entornos Blockchain


Aunque los entornos Blockchain gozan de mecanismos  de “seguridad por diseño” para algunas funcionalidades, son un queso de gruyere para otras, especialmente cuando los usuarios no conocen bien cuales son sus responsabilidades en el mantenimiento de prácticas de uso seguras.

Uno de los aspectos críticos es la protección de la clave privada de la “cartera” o del mecanismos para solicitar transacciones al sistema, que se basa en criptografía de clave pública, pero con mecanismos mucho más primitivos que los que se usan en los contextos de “firma electrónica cualificada”.

Eso sin contar con que en muchos proyectos se introducen vulnerabilidades por defectos en la implementación.

Bitcoin y Ethereum, por ejemplo, han experimentado importantes episodios de explotación de vulnerabilidades que han tenido cierto eco y que han revelado debilidades inherentes de seguridad de blockchain que deben ser entendidas.

Los mecanismos de incorporación de código fuente a Github crean un vector de ataque que se puede abrir intencionadamente o por descuido cuando se hace necesario añadir una funcionalidad o corregir un error. Aunque hay muchos ojos comprobando que el software “está limpio”, también hay otros que identifican vulnerabilidades y no las comunican a la comunidad pensando en explotarlas más adelante.

Cada nuevo proyecto puede reaprovechar trabajos ya realizados y añadir nuevas funcionalidades pero la complejidad crece tan deprisa que es muy difícil cubrir todos los flancos, y, a veces se producen errores de regresión porque vuelven a aparecer vulnerabilidades identificada que ya se parchearon en ocasiones anteriores. No puede darse por sentado que las funcionales del punto de partida ya eran seguras en todos sus aspectos.

Aspectos de implementación como carteras autónomas (con copia propia de la cadena de bloques y protección de claves privadas) o servicios de cartera en web (delegando a un servidor remoto el almacenamiento de la copia propia de la cadena de bloques o de la clave privada) presentan retos diferentes sobre la forma de gestionar la seguridad y su implementación y administración deberían ser revisadas.

Estos son solo algunos de los problemas que una empresa debe considerar para garantizar la seguridad de blockchain. Existen grandes diferencias de funcionamiento entre las implementaciones, no solo en los detalles de la tecnología, sino también en el entorno de seguridad general de la empresa de la organización. Estas preocupaciones deben ser consideradas cuidadosamente.