Archivo de la categoría: Auditoría

Como digitalizar documentos y destruir los originales


El reto de la digitalización de las entidades públicas y privadas tropieza en la necesidad de conservar los documentos en papel por si fuera preciso recurrir a su valor probatorio.

¿Es posible destruir documentos en papel tras digitalizarlos?

La respuesta corta es que, en bastantes casos, si. Sin embargo hay que matizar que es conveniente realizar un análisis de riesgos regulatorios en función del sector de actividad al que pertenezca la entidad. Ciertos documentos no pueden ser destruidos, tras la digialización.

¿Qué normativa legal existe para la conservación y destrucción de documentos?

Respecto a la conservación de los documentos, una de las normas de referencia más relevantes es el Código de Comercio. En su artículo 30 dispone:

1. Los empresarios conservarán los libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años, a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales.

2. El cese del empresario en el ejercicio de sus actividades no le exime del deber a que se refiere el párrafo anterior y si hubiese fallecido recaerá sobre sus herederos. En caso de disolución de sociedades, serán sus liquidadores los obligados a cumplir lo prevenido en dicho párrafo.

Los sujetos obligados por la Ley 10/2010 deben conservar durante un período mínimo de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en dicha Ley.

En ciertos casos, podrá realizarse la conservación mediante el uso de tecnologías de la información. Por jemplo, la citada Ley 10/2010 señala en su artículo 25:

(…) los sujetos obligados conservarán (…) las copias de los documentos de identificación a que se refiere el artículo 3.2 en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo no entra en más detalles sobre la forma de cumplir los requisitos.

Sin embargo, existen diferentes normas sobre digitalizacón certificada a las que hacer referencia según los casos:

  • Para la digitalización certificada de facturas recibidas en papel, la Orden EHA 962/2007 y la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.
  • Para la digitalización garantizada en el ámbito de las administraciones públicas, el Esquema Nacional de Interoperabilidad y algunas Normas Técnicas de Interoperabilidad, como la de digitalización, la de copiado auténtico, la de documento electrónico administrativo y la de política de firma electrónica.
  • Para la digitalización certificada en el ámbito de la administración de justicia, el RD 1065/2015, y diferentes normas del CTEAJE, como las Bases del EJIS, la política de certificados y firma electrónica y la GIS de digitalización certificada.

¿Qué requisitos debe cumplir el software de digitalización?

El software debera cumplir lo indicado en las normas anteriores.

Si se orienta al ámbito tributario, deberá homologarse por la Agencia Tributaria o por los organismos designados por la normativa tributaria foral equivalente, para lo que será necesario acompañar la soclicitud con un informe de audtoría.

El resto de normas no define un organismo de homologación, pero un informe de auditoría puede certificar el cumlimento de los requisitos aplicables.

¿Quien puede realizar informes de auditoría de Digitalización Certificada?

La normativa tributaria se refiere a entidades  de auditoría informática independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada. Una de esas entidades es EADTrust con más de 50 auditorás realizadas. Se puede contactar con EADTrust llamando al 917160555,

¿Es posible encontrar más información sobre Digitalización Certificada y Garantizada?

Si.

En los siguientes enlaces puede encontrar información de interés:

 

 

Soluciones homologadas de Digitalización Certificada en la web de la AEAT


En la pagina web de la Agencia Tributaria se incluye información sobre la Digitalización Certificada y, entre ella, la relación de entidades que cuentan con un software homologado de Digitalización.

Casi la mitad de las soluciones han sido auditadas por nuestros especialistas.

Vea más información en nuestra página sobre la Auditoria de soluciones de Digitalización Certificada.

Esta es la relación completa de soluciones publicada por la AEAT actualizada a mayo de 2017.

SOFTWARE VER. EMPRESA FECHA DE HOMOLOGACIÓN
LEGALSNAPSCAN 1.0 ANF-AC 26/11/2007
DF-SERVER 4.0.0 SOTRONIC 06/03/2008
EDASFACTURAS 3.0 ZEROCOMA (Disponible V3.1 04/12/2015) 11/04/2008
EDIWIN DIGICERT 1.1 EDICOM 11/04/2008
INVESDOC DC 10.0 INFORMÁTICA EL CORTE INGLÉS 16/06/2008
ATRIL 4.0-DC IPSA 15/07/2008
DIGITAL DOCU 3.0 OFIMÁTICA DIGITAL 01/09/2008
SCAN_VISIO EDOCUMENT SUITE 2.0 ABAST SOLUTIONS 16/12/2008
FIRMADOC DIGITALIZACIÓN 1.0.0 AYTOS CPD 08/01/2009
I-FACT 1 INDRA SISTEMAS S.A. 04/02/2009
DOCUODEC 2.0 ODEC 18/02/2009
DIGIFACTIN 2.0 NOTARNET S.L 26/02/2009
docuCERT 1.0 CATIMAGE S.L 15/04/2009
ADAPTING EFACTURA 2.0 ADAPTING S.L 20/04/2009
INVOCA DOCUMENTUM 1.0 INFORMÁTICA EL CORTE INGLÉS 19/05/2009
ESIGNA DIGITALSCAN 1.0 INDENOVA S.L 19/05/2009
AdDOC 3.70 IBAI SISTEMAS S.A 02/06/2009
Scan Invoices 5-5 sp2 READSOFT ESPAÑA S.L 29/06/2009
Ecodoc 1.00.00 AKITANIA 2000 S.A. 29/06/2009
BdocWeb 6.0 ALIANET S.L 29/06/2009
PIXELWARE LEGAL SCAN 2.0 PIXELWARE S.A. 03/09/2009
ECOMPULSA 1.0 DOCEO 22/09/2009
HEIMDALL 1.0 PAPYRUM NEXUS S.L. 22/09/2009
Docuware 5.1b DocuWare S.L 11/12/2009
Livelink ECM-digitalización certificada 1.0 Hummingbird Spain S.L. 17/12/2009
DOXiS4 InvoiceMaster 4.0 SER SOLUTIONS IBERIA S.L 12/01/2010
DIFSLEGAL 3.0.0.0 Matrix Development System, S.A. 28/01/2010
IMG-Módulo de Digitalización Certificada 1 Serikat Consultoría e Informática, S.A. 12/02/2010
FACTe 1.0 Indra Bmb, S.L. 09/03/2010
BS Factura-DC 2.0 BanSabadellFactura, S.L.U. 12/03/2010
EdocScancert 2.0 EDITIO SERVEIS GLOBALS D’IMPRESSIÓ,S.L. 15/04/2010
GDON 1.0 DISEÑO OPERATIVO DE SOFTWARE S.L. 19/04/2010
IesaGDoc ModuloDC 3.0.0.0 Informatización de Empresas S.A. 27/04/2010
Delfos Web Scan 1.0 Atos Origin SAE 02/07/2010
TS-DIGCERT 1.0 T-Systems ITC Iberia S.A.(Sociedad Unipersonal) 08/07/2010
Repcon invoices 1.0 Semantic systems 27/10/2010
Esker DeliveryWare 5.0 ESKER Ibérica S. L. 03/12/2010
DEOSCAN-ALETHEIA 1.0 MULTITEC S.A. 10/12/2010
Readsoft INVESDOCDC 1.0 IECISA (Informática El Corte Inglés) 22/12/2010
Readsoft DC 1.0 IECISA (Informática El Corte Inglés) 22/12/2010
SM-Veritas 1.0 Simply Smart S.L. 25/02/2011
Tire@SDC 1.0 TIREA S.A. (Tecnologías de la Información y Redes para Entidades 25/02/2011
GOnceDC 1.0 GUADALTEL S. A. 22/03/2011
ABS Doc DC 1.0 ABS Informática S. L. 12/07/2011
Movidoc – DDFE 1.1 Voicelan Telecom S. L. 27/07/2011
Expert Scan 1.0 Datadec Online S. A. 29/09/2011
GitDoc.Cert 1.0 GIT DOC S. L. 16/09/2011
Tradise Paperless 1.0 Training Digital Security S.L. 19/12/2011
OnBase 11 Hayland Software inc. 15/06/2012
GseDocuCert 1.0 Gabinete de Software Empresarial 07/09/2012
GesDocumental 2.0 Informática y Desarrollo de Software S.L 19/09/2012
FactUM 3.0 Universidad de Murcia 14/09/2012
SDC Oracle 1.0 European Agency of Digital Trust, S.L. 01/10/2012
Idoneo.NET 1.1 Abysal System S.L. 30/10/2012
Repcon DC 1.0 Semantic Systems S. L. 21/01/2013
GerSoft-DC 1.0 Gersoft Hispania S.L. 20/02/2013
Livelink ECM-digitalización certificada 1.1 Open Text Software S. L. U 02/04/2013
DocGes Digitalización Certificada 1.0 Programación Integral, SA 12/04/2013
OnBase 12 Hyland Software Inc. 22/04/2013
Docuware 6.0 DocuWare S.L 15/07/2013
Captio Cert 1.0 Ongest Gestiones y Servicios Internet S.L. ( esta empresa ha cambiado su denominación a CAPTIO TECH S.L.) 09/08/2013
Esker DeliveryWare 6.0 ESKER Ibérica S. L. 04/12/2013
Efacturanet dc 1.0 EVINTIA S.L. 28/03/2014
GesBan Digital 1.0 Ingeniería del software bancario S.L. 03/04/2014
Le Moustache Club (cambia denom.) 1.0 APP TO IU YOU MOBILITY, S. L. (cambia denom.) 04/04/2014
DIGCERT 1.0 Sociedad de Explotación de Redes Electrónica y Servicios S.A. 10/04/2014
ADAR 3.8 Docout S.L. 24/04/2014
EXACCTA (antes Le Moustache Club) 1.0 Le Moustache Club S.L. (Antes APP TO IU MOBILITY) 09/07/2014
Doku4Invoices 1.0 Paina Nuevas Tecnologias S. L. 14/07/2014
MyDocument (Núcleo EdasFacturas) 1.0 DocQuijote Software S. L. 03/09/2014
DocQuijote (Núcleo EdasFacturas) 1.0 DocQuijote Software S. L. 03/09/2014
IVA FREE DigCert 2.0.0 GROWTH TECHNOLOGIES S.L: 04/04/2015
Livelink ECM-digitalización certificada 1.2 Open Text Software SLU 03/12/2014
Invoca Documentum 1.0 INFORMÁTICA EL CORTE INGLES S.A. 16/12/2014
IreneDC 3.0 Manuel Diago García 21/01/2015
EJIDOSOFT DC 1.0 EJIDO SOFT S. L. 12/02/2015
ECS DC 1.0 Electronic Certification Services S. L. 10/03/2015
TICKELIA 10 MULTIMOS S.A. 08/04/2015
Digitaldocu-AECID 1.0 Ofimática Digital SLU 14/04/2015
Trans 2000 1.0 MASTERSOFT 2000 29/07/2015
ATMGERES Digitalización Certificada 1.0 ATM2 S. L. 03/09/2015
ANFIX 1.0 Anfix Software S.L. 27/10/2015
GERNOTAS-DC 1.0 GERSOFT HISPÂNIA S.L. 05/11/2015
EDASFACTURAS 3.1 ZEROCOMA S.L. 04/12/2015
LE MOUSTACHE CLUB (cambio ver) 1.1 LE MOUSTACHE CLUB S.L. 22/12/2015
TRAVEL & EXPENSES 7.00.210 UNIT4 Business Software Ibérica S. A. 21/03/2016
BIZHUB (Núcleo Edas Facturas V3.1) 1.0 Konica Minolta Business Solutions Spain S.A. (Acuerdo con Zerocoma S.L.) 06/05/2016
EDAS SCAN PRO 2.0 ZEROCOMA S.L. 31/05/2016
IVAFREE DigCert (Cambio Vers.) 2.1.2000 GROWTH TECHNOLOGIES S.L. 10/05/2016
GIFF MODULO DC 1.0 FEDERACIO FARMACEUTICA S. COOP. C.L. 13/06/2016
OnBase (act. Algoritmos) 15 HYLAND Software Inc. 13/01/2016
eBit Digitalize 1.0 BIT ON Consultores S. L. 05/09/2016
Continia Digital Documens 1.0 CONTINIA SOFTWARE A/S 22/06/2016
TICKELIA (paso a V13) 13 MULTIMOS S. A. 23/06/2016
MyTickets. 1.0 Indra Sistemas S. A. 08/09/2016
Digitaliz@ 1.0 SERVINFORM S.A. 03/10/2016
VINCLE-Doc 5.0 VINCLE Internacional de Tecnología y Sistemas S.A. 04/10/2016
SABBATIC DC 1.0 PAOPAO DIGITAL S.L. 03/11/2016
Captio Cert 1.0 CAPTIO TECH S.L., Antes Ongest Gestiones y Servicios Internet SL 09/08/2013
Premier Archive 2.0 PREMIER TAX FREE SA 21/02/2017
Ticketless 1.0 QUANTUM ECONOMICS SL 09/02/2017
CLOUD XPENSES
(Nucleo Edas Facturas V3.1)
1.0 CLOUBITY ENTERPRISE SOLUTIONS S.L. (Acuerdo con Zerocoma S.L.) 27/02/2017
NOTILUS HOMOLOGACIÓN 1.0 D.I.M.O SOFTWARE S.A.S OFICINA DE REPRESENTACIÓN EN ESPAÑA 02/03/2017
UpACTiva-Módulo de digitalización certificada 1.0 CHEQUE DEJEUNER ESPAÑA S.A. 07/03/2017
Comarch ECM DC 1.0 COMARCH SOFTWARE SPAIN S.L.U 28/03/2017
XPENDITURE 2.0 XPENDITURE N.V. REPRESENTADA EN ESPAÑA POR GARCIA BLAY, ALEXANDRE (N.I.F: 46129213E) 05/04/2017

Firma manuscrita digitalizada avanzada en las administraciones públicas


La digitalización de los administraciones públicas ha pasado a ser obligatoria con la aprobación de la Ley 39/2015 del procedimiento administrativo común y las administraciones públicas, estatales, autonómicas y locales deben dotarse de las herramientas necesarias para atender a los ciudadanos de una manera rápida, eficaz y segura.

La aplicación de la citada Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas obliga a los entes públicos a evolucionar hacia la administración sin papeles de forma que las solicitudes y trámites puedan realizarse en formato electrónico. La administración íntegramente electrónica mejorará en eficacia y en eficiencia la gestión pública, dotará de mayor celeridad a los trámites y permitirá ahorrar costes a la administración y al administrado.

No obstante, digitalizar los procesos es una tarea costosa que requiere soluciones tecnológicas adecuadas.

La administración pública debe comprometerse a disponer de métodos digitales legalmente válidos y sencillos de usar, especialmente para los ciudadanos, para poder formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones o renunciar a derechos.

Los organismos públicos deben garantizar que los ciudadanos (incluyendo los representantes de las empresas)  puedan relacionarse con ellos a través de los medios electrónicos poniendo a disposición canales de acceso, sistemas y aplicaciones seguras.

Dos aspectos claves de esta relación son la acreditación de la identidad (según lo define el artículo 9) y la firma electrónica  (según lo define el artículo 10). Es importante señalar que muchos procedimientos requieren identificación  y otros requieren firma (cuando verdaderamente sea necesario prestar consentimiento).

Aunque la norma se orienta hacia la firma electrónica basada en certificados, deja margen para gestionar firmas avanzadas, no basadas en certificados, como sucede con el caso de la gestión de firmas manuscritas digitalizadas.

A la hora de implantar un sistema de firma manuscrita digitalizada en un organismo hay que tener en cuenta las garantías que se ofrecen por parte del sistema sobre seguridad técnica y jurídica. Es importante garantizar que durante el proceso de firma y de custodia del documento firmado electrónicamente no se podrán manipular los datos biométricos de la firma.

En el nuevo marco jurídico administrativo, muchos ciudadanos continuarán acudiendo a las oficinas de atención presencial para realizar sus trámites con la ayuda de funcionarios habilitados, pero los trámites se cursarán de forma digital. Tiene sentido que, aunque el funcionario se identifique y firme con su certificado electrónico, los ciudadanos que no se manejen con esa tecnología puedan firmar los escritos  de su puño y letra, pero de forma que el documento electrónico que firman preserve la información de su firma de forma digital.

Los sistemas de firma biométrica o grafométrica permiten firmar en una tableta u otro dispositivo móvil obteniendo una firma manuscrita en soporte digital  con valor legal. De esta manera se agiliza el trámite a realizar potenciando la administración electrónica.

La firma en tabletas o dispositivos móviles, a priori, no permite por si misma garantizar la integridad y autenticidad de la documentación firmada a no ser que se apliquen ciertas medidas de seguridad como el cifrado de la información biométrica.

Se debe usar una combinación de medios tecnológicos y de procedimientos que permiten dar garantías a la firma, recogiendo entre otras aspectos evidencias electrónicas del contexto de la transacción.

Las plataformas de  firma digital permiten la automatización del proceso administrativo de recogida de firma, de envío, de registro y de archivo. Y eventualmente de gestión de controversias respecto a la atribución de la firma al firmante, en un contexto en que se tenga que demostrar esta vinculación.

Para tener la certeza de que un  plataforma es adecuada para la gestión de firmas manuscritas digitalizadas avanzadas (FMDA) es conveniente que esta pueda aportar un certificado de idoneidad tras haber superado una auditoría.

EADTrust cuenta con experiencia para la realización de auditorías de FMDA y avala a las  plataformas y soluciones que han superado sus auditorías.

Son auditorías que se enmarcan en un esquema de evaluación soportado por TCAB (Trust Conformity Assessment Body) que permite que en cada país pueda desarrollarse un modelo específico orientado al contexto normativo del país, especialmente en lo relativo a las normas procesales.

Entre los principios que se revisan se destacan los siguientes:

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

 

Documentos ISACA para asociados


Dentro del área de Publicaciones de la Asociación ISACA (que en el pasado eran las iniciales de Information Systems Audit and Control Association) se han publicación los CUADERNOS desarrollados por las diferentes Comisiones de Estudio e  Investigación del Capítulo de Madrid de  ISACA, en los últimos años.
Los socios de ISACA encontrarán varios cuadernos técnicos que recogen el resultado del trabajo realizado por las diferentes comisiones, en las que han trabajado profesionales de diferentes ámbitos de actividad.
Estos son los títulos de los cuadernos publicados:
  • Cuaderno_0008 – Nuevas Técnicas Avanzadas de Auditoria Continua.
  • Cuaderno_0007 – Internet de las Cosas
  • Cuaderno_0006 – Auditoría Continua sobre entorno GRC
  • Cuaderno _0005 – Computación en la Nube_Aspectos a considerar.
  • Cuaderno_0004 – Auditoría de la Capacidad Forense
  • Cuaderno_0003 – King III.
  • Cuaderno_0002 – Arquitectura de Empresa_Fase I
  • Cuaderno _0001 – Gobierno Corporativo IT Guía Breve de Autoevaluación (GBA)

Estos cuadernos han sido presentados en diferentes eventos organizados por ISACA, como la High Level Conference on Assurance 2016, anteriores Jornadas Técnicas, Jueves de ISACA y otros.

Nueva Junta Directiva de Isaca Madrid


El pasado 17 de noviembre, los socios de la Asociación ISACA (Information System Audit and Control Association) Capítulo de Madrid eligieron en Asamblea ordinaria su Junta Directiva para el periodo 2016-18.

Por unanimidad se aprobó el nombramiento de:

  • Presidente: D. Ricardo Barrasa – CISA, CISM
  • Vicepresidente: D. Antonio Ramos – CISA, CISM, CRISC
  • Secretario: D. José Miguel Cardona Pastor – CISA, CISM, CRISC
  • Tesorero: D. Joaquín Castillón – CISA, CGEIT
  • Vocal 1º: Relación con los asociados: D. Óscar Martín – CISA, CISM, CGEIT, CRISC
  • Vocal 2º: Coordinador de Certificaciones y Formación: D. Vicente Chiva-Carbonell – CISA
  • Vocal 3º: Programas: D. Pablo Blanco – CISA, CISM
  • Vocal 4º: Relaciones académicas: D. José A. Rubio – CISA, CRISC
  • Vocal 5º: Webmaster: D. Israel Hernández – CISA, CISM, CGEIT
  • Vocal 6º: Comunicaciones y Marketing: D. Enrique Turrillo – CISA, CISM, CRISC
  • Vocal 7º: Director de Investigación: D. Erik de Pablo – CISA, CRISC

En la reunión se aprobaron las cuentas del ejercicio y el Plan de actividades para 2017.

La nueva Junta Directiva se plantea seguir manteniendo una Asociación fuerte y sólida que continúe promoviendo en la sociedad el reconocimiento de los profesionales de auditoría de sistemas, ciberseguridad, gestión de riesgos y gobierno de las tecnologías.

Se va a  fomentar el desarrollo de Grupos de Trabajo que ayuden al intercambio de experiencias y a la mejora de las prácticas de auditoría de TI

Las actividades formativas y eventos seguirán recibiendo la atención de los años anteriores en linea con las necesidades del mercado, y como oportunidades de networking.

ISACA Madrid quiere dar las gracias a los miembros de la Junta Directiva 2014-2016, en especial a: Dña. Nuria Domínguez y Dña. María José Carmona.
El Capítulo de Madrid de la Asociación internacional ISACA ( http://www.isacamadrid.es ), es una asociación sin ánimo de lucro con más de 1.100 asociados, profesionales del ámbito de la Seguridad de la Información, lo que supone que sea el colectivo más representativo en esta materia.

El Capítulo realiza actividades de difusión, concienciación y formación, mediante conferencias, congresos anuales, boletines para sus asociados y cursos de formación para contribuir a la misión de ISACA.
ISACA® ( http://www.isaca.org ) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase.  Establecida en 1969, ISACA es una asociación global sin ánimo de lucro de140.000 profesionales en 180 países . ISACA también ofrece Cybersecurity Nexus™ (CSX), un recurso integral y global en ciberseguridad, y COBIT®, un marco de negocio para gobernar la tecnología de la empresa.
Adicionalmente, ISACA promueve el avance y certificación de habilidades y conocimientos críticos para el negocio, a través de las certificaciones globalmente respetadas: Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in risk and Information Systems Control™ (CRISC™).

La asociación ISACA tiene más de 200 capítulos en todo el mundo.

PSEC: Prestadores de Servicios Electrónicos de Confianza Registrados en el marco de #eIdAS


La denominación “Prestador de Servicios Electrónicos de Confianza” (PSEC) creada al amparo del recientemente vigente Reglamento UE Nº 910/2014, deja obsoletas las denominaciones anteriores:

Los nuevos Prestadores de Servicios Electrónicos de Confianza se clasifican en tres niveles:

  1. Servicios cualificados electrónicos de confianza, registrados en el registro de PSEC de la SETSI (no pueden existir servicios electrónicos de confianza cualificados no registrados).
  2. Servicios electrónicos de confianza no cualificados, registrados en el registro de PSEC de la SETSI.
  3. Servicios electrónicos de confianza no cualificados y no registrados en el registro de PSEC de la SETSI.

Los Prestadores Cualificados de Servicios Electrónicos de Confianza  son supervisados por los Organismos de Supervisión.  En España, el organismo de supervisión es la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), del Ministerio de Industria, Energía y Turismo (Minetur).

Los prestadores cualificados de servicios electrónicos de confianza deben ser auditados, al menos cada 24 meses, por un organismo de evaluación de conformidad (Conformity Assessment Body). La finalidad de la auditoría es confirmar que tanto los prestadores cualificados de servicios electrónicos de confianza como los servicios electrónicos de confianza cualificados que prestan cumplen los requisitos establecidos en el Reglamento (UE) 910/2014.

Los prestadores cualificados de servicios electrónicos de confianza deben enviar el informe de evaluación de la conformidad correspondiente al organismo de supervisión en el plazo de tres días hábiles tras su recepción.

Los Prestadores de Servicios Electrónicos de Confianza Registrados  suponen una categoría especial en cuanto a la supervisión de los servicios por la SETSI, ya que que prestan o bien  servicios que no tienen la condición de servicio de confianza cualificado, o bien servicios que no encajan en las definiciones de servicio de confianza según el Reglamento (UE) 910/2014.

Por la cualidad de servicios Notificados a la SETSI (y por tanto, incluidos en el Registro de Prestadores), su información se  publica en la página web del Ministerio de Industria, Energía y Turismo, aunque el Ministerio de Industria, Energía y Turismo no comprueba la alineación de los correspondientes servicios a la legislación aplicable en materia de servicios de confianza antes de su publicación.

Los Prestadores Registrados pueden recibir apercibimientos y solicitudes de información de la SETSI, si esta recibe algún tipo de queja por parte de los usuarios de los servicios de confianza implicados.

Algunos servicios, como los de Digitalización Certificada, no suelen notificarse a la SETSI, por lo que cabría considerarlos como No Registrados, y por tanto, fuera del ámbito de actuación del organismo supervisor.

Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales


TCAB (Trust Conformity Assessment Body) evaluará las medidas de control utilizadas en los entornos de “video onboarding” de las entidades financieras en el contexto de la reciente normativa publicada al efecto por el SEBPLAC (Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias).

video-onboarding-dniLa Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias , dependiente de la Secretaría de Estado de Economía y Apoyo a la Empresa del Ministerio de Economía y Competitividad, creada por la Ley 19/1993 de 28 de diciembre, es un órgano colegiado del que forman parte representantes de diferentes departamentos ministeriales y Agencias, el Ministerio Fiscal, así como de las Comunidades Autónomas. Es el máximo responsable del desarrollo de la política preventiva y de lucha contra el blanqueo de capitales en España. Actualmente se encuentra regulada por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y la financiación del terrorismo.

La Comisión cuenta con el apoyo de la Secretaría, actualmente desempeñada por la Subdirección General de Inspección y Control de Movimientos de Capitales de la Secretaría General del Tesoro y Política Financiera, y del Servicio Ejecutivo de la Comisión de Prevención de Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC).

El SEPBLAC es la unidad de inteligencia financiera española y desempeña las actuaciones tendentes a la prevención e impedimento de la utilización del sistema financiero o de empresas o profesionales de otra naturaleza para el blanqueo de capitales, así como las funciones de investigación y prevención de las infracciones administrativas del régimen jurídico de los movimientos de capitales y de las transacciones económicas con el exterior.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado. Esta gestión ya ha sido realizada por TCAB.

El artículo 28 de la Ley 10/2010 establece que las medidas de control interno a que se refiere el artículo 26 de dicha Ley serán objeto de examen anual por un experto externo y que quienes pretendan actuar como tal deberán comunicarlo al Servicio Ejecutivo de la Comisión antes de iniciar su actividad e informar a éste semestralmente de la relación de sujetos obligados cuyas medidas de control interno hayan examinado.

Es responsabilidad de los sujetos obligados seleccionar profesionales idóneos, así como verificar que el examen externo se realice en los términos establecidos en la Orden EHA/2444/2007, de 31 de julio.

TCAB es una entidad de evaluación de productos y servicios relacionados con la seguridad informática y, en particular, de Prestadores de Servicios Electrónicos de Confianza, en el marco de la normativa #eIdAS. Se rige por la norma ISO 17065 y por la norma EN 319 403 en la relativo a la evaluación de Prestadores.

Puede elaborar el Informe de experto externo de evaluación de las medidas de control interno destinadas a prevenir el blanqueo de capitales y la financiación del terrorismo. En particular en aplicación de la AUTORIZACIÓN DE PROCEDIMIENTOS DE IDENTIFICACIÓN NO PRESENCIAL MEDIANTE VIDEOCONFERENCIA publicada por el SEBPLAC.

La citada autorización permite el empleo por los sujetos obligados de procedimientos de identificación no presencial mediante videoconferencia