Archivo de la categoría: Auditoría

Actividades de estandarización de los servicios de confianza en ETSI en 2019


El Instituto Europeo de Normas de Telecomunciaciones (ETSI) es un organismo sin ánimo de lucro creado para elaborar normas técnicas de telecomunicación y de otros ámbitos que faciliten la interoperabilidad. En su seno se han desarrollado las normas relativas a los servicios de confianza y, en particular, los que facilitan la puesta en marcha de los servicios contemplados en el Reglamento UE 910/2014 (EIDAS).

Riccardo Genghini, representante de la entidad Studio Notarile Genghini, eWitness SA dirige el Comité Técnico de Firmas Electrónicas e Infraestructuras (TC ESI, Electronic Signatures and Infrastructures committee), con la misión  de elaborar normas, guías e informes genéricos relativos a las firmas electrónicas y a las infraestructuras de servicios de confianza conexos para proteger las transacciones electrónicas y garantizar la confianza entre sus intervinientes. Ha elaborado un resumen de actividades del TC ESI en 2019 que se ha publicado en la página web de ETSI.

Entre las actvidades, destaca la publicación de diversos documentos normativos y especificaciones técnicas.

El Comité ha actualizado la Especificación Técnica [TS 119 495] que define los Perfiles de Certificados Cualificados (Qualified Certificate Profiles ) y los Requisitos de Política de TSP para Servicios de Pago (TSP Policy Requirements for Payment Services ) bajo la Directiva de servicios de pago 2015/2366/EU (denominada PSD2).

Se han realizado revisiones a la Especificación Técnica [TS 119 102-2] sobre Procedimientos de Creación y Validación de Firmas Digitales AdES (Parte 2: Informe de Validación de Firmas), en inglés “Procedures for Creation and Validation of AdES Digital Signatures (Part 2: Signature Validation Report”.

El Comité ha publicado protocolos para la creación y validación de firmas digitales remotas en los documentos TS 119 432TS 119 442 respectivamente.

Se publicó otra especificación técnica [TS 119 511],en la que se definen los requisitos de política y seguridad para los proveedores de servicios de confianza que proporcionan servicios de preservación a largo plazo de firmas digitales o de preservación de datos generales mediante técnicas de firma digital.

Se publicaron los documentos  TS 119 403-2TS 119 403-3, en los que se definen los requisitos adicionales que deben cumplir los organismos de evaluación de la conformidad que evaluan a los prestadores de servicios de confianza cualificados de la UE y auditan a los prestadores de servicios de confianza que emiten certificados aceptables por los navegadores (con denominación acuñada “Publicly-Trusted Certificates”, certificados confiables públicamente ).

Los restantes entregables bajo el alcance del grupo de trabajo STF 523 se publicaron en febrero. Entre ellos figuraban dos documentos normativos para los prestadores de servicios de entrega electrónica registrada y los de correo electrónico registrado (Electronic Registered Delivery Providers and Registered Electronic Mail Providers – REM), especificaciones de prueba y un estudio de viabilidad sobre un perfil de interoperabilidad entre los sistemas REM definidos en ETSI y los sistemas basados en PReM (Postal Registered Electronic Mail) de la UPU (Unión Postal Universal) [EN 319 521EN 319 531TS 119 524 Part 2TS 119 534 Part 2TR 119 530]. Anteriormente este tipo de interoperabilidad se trató en la publicación TS 102 640-6-1 de 2011.

El grupo de trabajo STF 560 financiado por la CE/AELC  (EC/EFTA) trabajó en dos temas. Uno considera dos formatos procesables por máquina para las políticas de firma [TS 119 172 Part 2TS 119 172 Part 3] que se publicaron en diciembre de 2019. En el segundo, el STF hizo un estudio sobre la aceptación global de los Servicios de Confianza de la UE. Para dar cobertura a este estudio, el TC ESI organizó cuatro sesiones conjuntas (workshops , talleres) en Dubai (mayo), Tokio (mayo), México D.F. (junio) y Nueva York (septiembre). Los trabajos pretendían estudiar  los esquemas de Servicios de Confianza basados en Infraestructuras de Clave Pública (ICP, PKI)  que operan en diferentes regiones del mundo, y su posible reconocimiento mutuo e, incluso, un modelo de aceptación mundial. El estudio tiene por objeto determinar otras medidas que podrían adoptarse para facilitar el reconocimiento mutuo entre los servicios de confianza de la Unión Europea, sobre la base de las normas de la ETSI que respaldan la reglamentación del eIDAS y los servicios de confianza de otros esquemas o modelos de confianza.

En 2019 se mantuvo la interacción con varios órganos externos. En lo que respecta a los resultados de la entrega electrónica (e-delivery), el Comité trabajó con la Comisión Europea / CEF (Connecting Europe Facility), CEN TC 331 WG2 (que trabaja en los servicios postales) y la UPU (Unión Postal Universal).

El Comité TC ESI se coordinó con el Comité TC DSS-X de OASIS para garantizar la alineación y la complementariedad de las especificaciones para la creación y validación de firmas remotas, a partir de la nueva especificación OASIS DSS-X V2 que se publicó en julio de 2019.

Se realizaron progresos  en los protocolos para la creación de firmas remotas, en consonancia con los trabajos del Consorcio de Firma en Nube (Cloud Signature Consortium – CSC) para dar cobertura a las firmas electrónicas basadas en modelos de consulta/respuesta en servidores según la especificación  JSON.

En cooperación con la Autoridad Bancaria Europea (European Banking Authority) y Open Banking Europe, se ha ajustado la Especificación Técnica [TS 119 495] para que la infraestructura de confianza pueda satisfacer mejor las necesidades de los nuevos servicios de pago.

El Comité TC ESI  ha compartido información relevante para los proveedores de servicios de confianza con el Foro de Autoridades Europeas de Supervisión (Forum of European Supervisory Authorities).

El Comité TC ESI  ha Interactuado con el Comité TC 154 WG6 de ISO, que está definiendo perfiles de formatos de firmas a partir de los formatos ESI.

El Comité TC ESI mantiene activa la relación con la Cooperación Europea para la Acreditación (European cooperation for Accreditation), en particular para el mantenimiento de la norma de conformidad para la certificación de evaluadores EN 319 403.

Se suscribió un acuerdo de colaboración (MoU Memorandum of Understanding,  memorando de entendimiento) con la asociación ACAB’c, Accredited Conformity Assessment Bodies’ Council, es decir,  el Consejo de Organismos de Evaluación de la Conformidad Acreditados.

Se estableció un nuevo acuerdo de cooperación con el Cloud Signature Consortium.

En enero de 2019 el Vicepresidente del TC ESI habló – junto con el Presidente y el Vicepresidente del TC CYBER – en un segundo taller en Bruselas sobre la Ley de Ciberseguridad y su vínculo con la normalización, organizado conjuntamente por ENISA, CEN, CENELEC y ETSI.

Durante octubre y noviembre, el TC ESI llevó a cabo un evento remoto de PlugtestsTM  de validación de firmas digitales (Digital Signature Validation PlugtestsTM ).

 

 

 

Norma del CCN para firma en la nube


CCN-CertificacionLos dispositivos cualificados de creación de firma son necesarios para producir firmas electrónicas y sellos electrónicos cualificados en el contexto del Reglamento 910/2014 (EIDAS).

Dada la lentitud del proceso de publicación en el seno del CEN (Comité Europeo de Normalización) de las normas de evaluación de conformidad de dispositivos cualificados de creación de firma que promovía el Reglamento EIDAS, en su artículo 30, en 2016 el Centro Criptológico Nacional (CCN) impulsó la publicación de una norma propia a lo que le autorizaba el propio artículo 30 en su apartado 3-b.

En efecto, el artículo 30 en su apartado 1 indica:

La conformidad de los dispositivos cualificados de creación de firmas electrónicas con los requisitos que figuran en el anexo II será certificada por los organismos públicos o privados adecuados designados por los Estados miembros.

Y en su apartado 3

La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

a) un proceso de evaluación de la seguridad llevado a cabo de conformidad con las normas para la evaluación de la seguridad de los productos de tecnología de la información incluidos en la lista que se establecerá de conformidad con el párrafo segundo

(…)

La Comisión establecerá, por medio de actos de ejecución, la lista de las normas para la evaluación de la seguridad de los productos de tecnología de la información a que se refiere la letra a). Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.

En abril de 2016 se publicó la DECISIÓN DE EJECUCIÓN (UE) 2016/650 DE LA COMISIÓN de 25 de abril de 2016 por la que se fijan las normas para la evaluación de la seguridad de los dispositivos cualificados de creación de firmas y sellos con arreglo al artículo 30, apartado 3, y al artículo 39, apartado 2, del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Sin embargo, esta norma solo hacía mención al marco de evaluación Common Criteria (ISO/IEC 15408 — Information technology — Security techniques — Evaluation criteria for IT security (Tecnología de la información — Técnicas de seguridad — Criterios de evaluación para la seguridad de la TI), Partes 1 a 3 y a la norma de perfiles de protección de dispositivos seguros de creación de firma EN 419 211 — Protection profiles for secure signature creation device (Perfiles de protección para los dispositivos seguros de creación de firma, Partes 1 a 6), que pasaba de puntillas sobre los requisitos de firma en la nube (limitado a la parte  EN 419 211-5).

En base a la Directiva 1999/93/CE se había publicado en julio del año 2003 la Decisión 2003/511/CE:de la Comisión, de 14 de julio de 2003, relativa a la publicación de los números de referencia de las normas que gozan de reconocimiento general para productos de firma electrónica, de conformidad con lo dispuesto en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo que permitía contar con dispositivos seguros de creación de firma mientras evolucionaba el marco de normas técnicas de evaluacón de conformidad.

Dado el interés de algunas entidades españolas en certificar dispositivos cualificados de creación de firma (necesarios, por ejemplo, para finalizar el proyecto de DNI en la nube) el Centro Criptológico Nacional publicó en enero de 2017 la norma IT-009 -Remote Qualified Electronic Signature Creation Device Evaluation Methodology.

Esta norma se publicó al amparo del apartado 3-b del artículo 30 de EIDAS:

3.   La certificación contemplada en el apartado 1 se basará en los elementos siguientes:

(…)

b) un proceso distinto del proceso contemplado en la letra a), con tal de que ese proceso haga uso de niveles de seguridad equivalentes y que los organismos públicos o privados a los que se refiere el apartado 1 notifiquen ese proceso a la Comisión. Podrá recurrirse a ese proceso únicamente a falta de las normas a que se refiere la letra a) o cuando esté en curso el proceso de evaluación de la seguridad a que se refiere la letra a).

El documento recoge lo esencial de las normas técnicas en estado borrador en ese momento y posicionó a España en la punta de lanza de la evaluación de conformidad. Debe agradecerse al CCN esta labor proactiva que redunda en la competitividad de las empresas españolas del sector de la seguridad.

Por parte de TCAB (Trust Conformity Assessment Body) fué un privilegio el que pudiéramos colaborar en los trabajos preparatorios previos a la publicación de la norma.

Nueva lista de CABs (Conformity Assessment Bodies) en Europa


A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

Auditorias para entidades financieras en el marco de la PSD2


PSD2-FintechEl despliegue de nuevos sistemas financieros digitales amparados por la normativa PSD2 (Segunda Directiva de Pagos) deberá cumplir lo indicado en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Su Artículo 3 establece:

Revisión de las medidas de seguridad

1. La aplicación de las medidas de seguridad a que se refiere el artículo 1 deberá documentarse, probarse periódicamente, evaluarse y auditarse de conformidad con el marco jurídico aplicable al proveedor de servicios de pago por auditores con experiencia en el ámbito de la seguridad y los pagos informáticos y funcionalmente independientes, ya pertenezcan al organigrama del propio proveedor de servicios de pago o sean externos a él.

2. El período entre las auditorías a que se refiere el apartado 1 se determinará teniendo en cuenta el correspondiente marco aplicable al proveedor de servicios de pago en materia de contabilidad y de auditoría legal.

No obstante, los proveedores de servicios de pago que se acojan a la exención a que se refiere el artículo 18 estarán sujetos, como mínimo con una periodicidad anual, a una auditoría de la metodología, el modelo y los índices de fraude notificados. El auditor que lleve a cabo dicha auditoría poseerá conocimientos técnicos en el ámbito de la seguridad y los pagos informáticos y será funcionalmente independiente, ya pertenezca al organigrama del propio proveedor de servicios de pago o sea externo a él. Durante el primer año de uso de la exención prevista en el artículo 18 y al menos cada tres años en lo sucesivo, o con mayor frecuencia si así lo solicita la autoridad competente, esta auditoría será llevada a cabo por un auditor externo cualificado e independiente.

tcab-logo-trust-conformity-assessment-body-bigTCAB es una entidad evaluadora de conformidad (en inglés, CAB, Conformity Assessment Body) que audita Prestadores de Servicios Electrónicos de Confianza en el marco del EIDAS y que cuenta con los profesionales adecuados especialistas en medios de pago idóneos para esa tarea. Contacte con TCAB (Trust Conformity Assessment Body) llamando al 91 388 0789

Nueva Junta Directiva de ISACA Madrid


El pasado 22 de noviembre, los socios de la Asociación ISACA (Information System Audit and Control Association) Capítulo de Madrid eligieron en Asamblea ordinaria su Junta Directiva para el periodo 2018-20.

D. Ricardo Barrasa García  continuará como Presidente. Junto a él, forman la nueva Junta Directiva:

  • Vicepresidente: D. Antonio Ramos García
  • Secretario: D. José Miguel Cardona Pastor
  • Tesorera: Dña. Ana Belén Soriano Herrera
  • Vocal 1 – Relación con los asociados, Comunicaciones y Marketing: D. Joaquín Castillón Colomina
  • Vocal 2 – Relación con la Admon. Pública y la Empresa Privada: D. Fernando Hervada Vidal
  • Vocal 3 – Formación y Relaciones Académicas: D. Vicente Chiva Carbonell
  • Vocal 4 – Auditoría & GRC: Dña. Vanesa Gil Laredo
  • Vocal 5 – Seguridad Lógica: D. Eduardo Solís Gómez
  • Vocal 6 – Eventos: D. Pablo Blanco Íñigo
  • Vocal 7-  Investigación: D. Erik de Pablo

La nueva Junta Directiva se plantea seguir manteniendo una Asociación fuerte y sólida que continúe promoviendo en la sociedad el reconocimiento de los profesionales de auditoría de sistemas, ciberseguridad, gestión de riesgos y gobierno de las tecnologías.

Se va a  fomentar el desarrollo de Grupos de Trabajo que ayuden al intercambio de experiencias y a la mejora de las prácticas de auditoría de TI

Las actividades formativas y eventos seguirán recibiendo la atención de los años anteriores en linea con las necesidades del mercado, y como oportunidades de networking.

ISACA® Internacional (Information System Audit and Control Association), otorgó la consideración de Capítulo de Madrid a la Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA), actualmente ISACA® Capítulo de Madrid, el día 7 de marzo de 2004.

ISACA® Capítulo de Madrid (ASIA), nació en abril de 2002, del interés de un nutrido grupo de profesionales, que deseaban contribuir a la calidad y excelencia de la gestión de los sistemas de información y las tecnologías de la información y las comunicaciones en España. En estos años, ha desarrollado una importante labor de formación y divulgación, así como de desarrollo de aspectos profesionales, tales como la normalización, y de prestación de servicios a sus afiliados.

La Auditoría de Sistemas de la Información nació como profesión independiente hace unos 50 años, primero como apoyo de la Auditoría de Cuentas, ante la creciente informatización de los sistemas de gestión y, posteriormente, de manera independiente, como respuesta a un entramado social y empresarial cada vez más interconectado e informatizado. Cada vez son más necesarias y frecuentes las auditorías de seguridad informática, de productividad informática, y de cumplimiento legal (protección de datos, de software legal, de cumplimiento de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico LSSI-CE, Reglamento General de Protección de Datos, Esquema Nacional de Seguridad,…….), lo que convierte a los Auditores de Sistemas de Información, en un engranaje esencial en el progreso social y económico.

Auditoría de Smart Contracts y Oráculos


Los contratos inteligentes (Smart Contracts) pueden integrarse en un proyecto con blockchain y tecnologías conexas para automatizar  procesos de negocios.

Smart-contracts.gif

Las partes contratantes que prevén el uso de un smart contract pueden contratar a un auditor especializado que se cerciore de que los contratos inteligentes se implementan con la lógica comercial correcta.

Además, el auditor puede cerciorarse de que la interfaz entre los contratos inteligentes y las fuentes de datos externas que desencadenan eventos comerciales (los oráculos) están apropiadamente diseñadas e implementadas.

Sin una evaluación independiente, los usuarios de tecnologías blockchain y conexas (carteras, sistemas de firma electrónica, …)  se arriesgan a que diferentes tipos de errores o vulnerabilidades se pasen por alto.

Soluciones tradicionales como mecanismos de pruebas previas de integración, pases a producción controlados y check lists exhaustivos (listas de comprobación tan completas como puedan desarrollarse para cada proyecto) minimizan los fallos que pueden llegar a arruinar importantes proyectos empresariales.

Un auditor de blockchain y tecnologías conexas requiere habilidades específicas entre las que se incluye el conocimiento de la criptografía y de las técnicas de firma electrónica, cierta competencia relativa a lenguajes de programación (especialmente los utilizados en los smartcontracts), conocimientos sobre el código fuente  de las funciones de la tecnología blockchain adoptada, incluyendo el manejo de repositorios de Github y una adecuada recopilación de incidentes de seguridad ya identificados junto con sus causas y mecanismos de resolución.

Aunque una auditoría de proyectos blockchain no garantiza que no pueda aparecer algún problema nuevo, al menos es una forma de minimizar el riesgo de repetir problemas ya conocidos.

Por otro lado, los smart contracts a veces se reutilizan por entidades diferentes a las que los desarrollaron inicialmente. Incluso es posible que la implementación inicial del smart contract esté auditada. Así y todo, para reutilizar un smart contract hay asegurarse de que se entiende bien y que se programa adecuadamente la parte de personalización, ya que no es posible (en general) exigir ninguna responsabilidad a quien ofreció la muestra de referencia de smart contract.

En todo caso, los proyectos serios de Blockchain deberían considerar la realización de auditorías por equipos de auditores que no hayan participado en el proyecto, para evitar sesgos derivados de la involucración de los desarrolladores o de su  esquema mental de presunciones , para no dar por sobreentendido ningún riesgo ni la gestión de su tratamiento.

 

Organismos de Evaluación de Conformidad #EIDAS en Europa y en España


España ha pasado a ser uno de los países con mayor número de CABs (Conformity Assessment Bodies), en español, Organismos de Evaluación de Conformidad (OECs) en relación con el Reglamento UE 910/2014 (EIDAS).

Existe un listado a nivel europeo que recoge todos los Organismos de Evaluación de Conformidad [Compiled list of conformity assessment bodies as defined in point 13 of Article 2 of Regulation (EC) No 765/2008 and accredited as competent to carry out conformity assessment of a qualified trust service provider and the qualified trust services it provides against the requirements of eIDAS Regulation (EU) 910/2014] cuyo resumen es el siguiente:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

En total, a finales de julio de 2018 existen 25 CABS  (Conformity Assessment Bodies) en Europa. Italia acoge 7, Alemania y España aportan 4 cada país, la República Checa cuenta con 3,  en Francia y Eslovaquia residen 2 por cada país, y hay 1 CAB en Austria, Portugal y Reino Unido.

El resto de países de la Unión Europea no cuentan todavía con entidades evaluadoras de conformidad.

Los CABS españoles aparecen,, con el detalle de la acreditación, en la página web de ENAC:

 

 

 

 

 

Plataformas certificadas de firma digitalizada


A lo largo de los últimos años, EADTrust ha evaluado diversas plataformas para la gestión de firmas manuscritas digitalizadas con tecnologías que permiten que se las encuadre entre las firmas electrónicas avanzadas que define el reglamento europeo UE 910/2014 (EIDAS).

Estas firmas, por la forma en que conservan la información biométrica de las firmas manuscritas permiten su cotejo por los peritos calígrafos en caso de que su autenticidad se haya de dilucidar en juicio o en otro contexto de resolución de controversias. Admiten, por tanto, un modelo que permite definir las firmas indubitadas y las controvertidas para su análisis y comparación.

Se benefician por tanto de una cualidad que el Reglamento EIDAS atribuye a las firmas electrónicas cualificadas: su equivalencia con las firmas manuscritas, porque son firmas manuscritas.

logo-sello_fmda-platform_peq

 Además, como la mayor parte de las firmas manuscritas, tienen la propiedad de la inmediación (están hechas por la mano del firmante sin que intermedie un dispositivo técnico o mecánico) de la que carecen las firmas electrónicas realizadas con certificados digitales, inclusive las firmas electrónicas cualificadas.

EADTrust ha definido un distintivo específico para identificar a las soluciones auditadas con características de plataforma, y que se diferencia del distintivo otorgado a las entidades que adoptan la tecnología y la integran con sus sistemas para recoger firmas que forman parte de sus flujos de negocio (este tipo de entidades se denominan “promotoras” en el contexto de los sistemas de FMDA impulsados por EADTrust)  .

Las plataformas deben permitir cumplir los 10 principios generales definidos por EADTrust, pero algunos de tales principios suponen retos de cumplimiento especialmente orientados hacia las entidades promotoras, que adoptan las plataformas para captar las firmas de sus clientes o potenciales clientes.

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD y al RGPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Como digitalizar documentos y destruir los originales


El reto de la digitalización de las entidades públicas y privadas tropieza en la necesidad de conservar los documentos en papel por si fuera preciso recurrir a su valor probatorio.

¿Es posible destruir documentos en papel tras digitalizarlos?

destruir-documentosLa respuesta corta es que, en bastantes casos, si.

Sin embargo hay que matizar que es conveniente realizar un análisis de riesgos regulatorios en función del sector de actividad al que pertenezca la entidad, ya que ciertos documentos no pueden ser destruidos, tras la digitalización.

En particular, los documentos que contengan firmas manuscritas que pudieran tener valor como tales firmas en un proceso litigioso deben conservarse por si se precisara realizar sobre ellos un informe pericial caligráfico.

¿Qué normativa legal existe para la conservación y destrucción de documentos?

Respecto a la conservación de los documentos, una de las normas de referencia más relevantes es el Código de Comercio. En su artículo 30 dispone:

1. Los empresarios conservarán los libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años, a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales.

2. El cese del empresario en el ejercicio de sus actividades no le exime del deber a que se refiere el párrafo anterior y si hubiese fallecido recaerá sobre sus herederos. En caso de disolución de sociedades, serán sus liquidadores los obligados a cumplir lo prevenido en dicho párrafo.

Los sujetos obligados por la Ley 10/2010 deben conservar durante un período mínimo de diez años la documentación en que se formalice el cumplimiento de las obligaciones establecidas en dicha Ley.

En ciertos casos, podrá realizarse la conservación mediante el uso de tecnologías de la información. Por jemplo, la citada Ley 10/2010 señala en su artículo 25:

(…) los sujetos obligados conservarán (…) las copias de los documentos de identificación a que se refiere el artículo 3.2 en soportes ópticos, magnéticos o electrónicos que garanticen su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización.

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo no entra en más detalles sobre la forma de cumplir los requisitos.

Sin embargo, existen diferentes normas sobre digitalizacón certificada a las que hacer referencia según los casos:

  • Para la digitalización certificada de facturas recibidas en papel, la Orden EHA 962/2007 y la RESOLUCIÓN de 24 de octubre de 2007, de la Agencia Estatal de Administración Tributaria, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007.
  • Para la digitalización garantizada en el ámbito de las administraciones públicas, el Esquema Nacional de Interoperabilidad y algunas Normas Técnicas de Interoperabilidad, como la de digitalización, la de copiado auténtico, la de documento electrónico administrativo y la de política de firma electrónica.
  • Para la digitalización certificada en el ámbito de la administración de justicia, el RD 1065/2015, y diferentes normas del CTEAJE, como las Bases del EJIS, la política de certificados y firma electrónica y la GIS de digitalización certificada.

¿Qué requisitos debe cumplir el software de digitalización?

El software debera cumplir lo indicado en las normas anteriores.

Si se orienta al ámbito tributario, deberá homologarse por la Agencia Tributaria o por los organismos designados por la normativa tributaria foral equivalente, para lo que será necesario acompañar la solicitud con un informe de audtoría.

El resto de normas no define un organismo de homologación, pero un informe de auditoría puede certificar el cumplimento de los requisitos aplicables.

¿Quien puede realizar informes de auditoría de Digitalización Certificada?

La normativa tributaria se refiere a entidades  de auditoría informática independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada. Una de esas entidades es EADTrust con más de 50 auditorás realizadas. Se puede contactar con EADTrust llamando al 917160555,

¿Es posible encontrar más información sobre Digitalización Certificada y Garantizada?

Si.

En los siguientes enlaces puede encontrar información de interés:

Soluciones homologadas de Digitalización Certificada en la web de la AEAT


En la pagina web de la Agencia Tributaria se incluye información sobre la Digitalización Certificada y, entre ella, la relación de entidades que cuentan con un software homologado de Digitalización.

Casi la mitad de las soluciones han sido auditadas por nuestros especialistas.

Vea más información en nuestra página sobre la Auditoria de soluciones de Digitalización Certificada.

Esta es la relación completa de soluciones publicada por la AEAT actualizada a mayo de 2017.

SOFTWARE VER. EMPRESA FECHA DE HOMOLOGACIÓN
LEGALSNAPSCAN 1.0 ANF-AC 26/11/2007
DF-SERVER 4.0.0 SOTRONIC 06/03/2008
EDASFACTURAS 3.0 ZEROCOMA (Disponible V3.1 04/12/2015) 11/04/2008
EDIWIN DIGICERT 1.1 EDICOM 11/04/2008
INVESDOC DC 10.0 INFORMÁTICA EL CORTE INGLÉS 16/06/2008
ATRIL 4.0-DC IPSA 15/07/2008
DIGITAL DOCU 3.0 OFIMÁTICA DIGITAL 01/09/2008
SCAN_VISIO EDOCUMENT SUITE 2.0 ABAST SOLUTIONS 16/12/2008
FIRMADOC DIGITALIZACIÓN 1.0.0 AYTOS CPD 08/01/2009
I-FACT 1 INDRA SISTEMAS S.A. 04/02/2009
DOCUODEC 2.0 ODEC 18/02/2009
DIGIFACTIN 2.0 NOTARNET S.L 26/02/2009
docuCERT 1.0 CATIMAGE S.L 15/04/2009
ADAPTING EFACTURA 2.0 ADAPTING S.L 20/04/2009
INVOCA DOCUMENTUM 1.0 INFORMÁTICA EL CORTE INGLÉS 19/05/2009
ESIGNA DIGITALSCAN 1.0 INDENOVA S.L 19/05/2009
AdDOC 3.70 IBAI SISTEMAS S.A 02/06/2009
Scan Invoices 5-5 sp2 READSOFT ESPAÑA S.L 29/06/2009
Ecodoc 1.00.00 AKITANIA 2000 S.A. 29/06/2009
BdocWeb 6.0 ALIANET S.L 29/06/2009
PIXELWARE LEGAL SCAN 2.0 PIXELWARE S.A. 03/09/2009
ECOMPULSA 1.0 DOCEO 22/09/2009
HEIMDALL 1.0 PAPYRUM NEXUS S.L. 22/09/2009
Docuware 5.1b DocuWare S.L 11/12/2009
Livelink ECM-digitalización certificada 1.0 Hummingbird Spain S.L. 17/12/2009
DOXiS4 InvoiceMaster 4.0 SER SOLUTIONS IBERIA S.L 12/01/2010
DIFSLEGAL 3.0.0.0 Matrix Development System, S.A. 28/01/2010
IMG-Módulo de Digitalización Certificada 1 Serikat Consultoría e Informática, S.A. 12/02/2010
FACTe 1.0 Indra Bmb, S.L. 09/03/2010
BS Factura-DC 2.0 BanSabadellFactura, S.L.U. 12/03/2010
EdocScancert 2.0 EDITIO SERVEIS GLOBALS D’IMPRESSIÓ,S.L. 15/04/2010
GDON 1.0 DISEÑO OPERATIVO DE SOFTWARE S.L. 19/04/2010
IesaGDoc ModuloDC 3.0.0.0 Informatización de Empresas S.A. 27/04/2010
Delfos Web Scan 1.0 Atos Origin SAE 02/07/2010
TS-DIGCERT 1.0 T-Systems ITC Iberia S.A.(Sociedad Unipersonal) 08/07/2010
Repcon invoices 1.0 Semantic systems 27/10/2010
Esker DeliveryWare 5.0 ESKER Ibérica S. L. 03/12/2010
DEOSCAN-ALETHEIA 1.0 MULTITEC S.A. 10/12/2010
Readsoft INVESDOCDC 1.0 IECISA (Informática El Corte Inglés) 22/12/2010
Readsoft DC 1.0 IECISA (Informática El Corte Inglés) 22/12/2010
SM-Veritas 1.0 Simply Smart S.L. 25/02/2011
Tire@SDC 1.0 TIREA S.A. (Tecnologías de la Información y Redes para Entidades 25/02/2011
GOnceDC 1.0 GUADALTEL S. A. 22/03/2011
ABS Doc DC 1.0 ABS Informática S. L. 12/07/2011
Movidoc – DDFE 1.1 Voicelan Telecom S. L. 27/07/2011
Expert Scan 1.0 Datadec Online S. A. 29/09/2011
GitDoc.Cert 1.0 GIT DOC S. L. 16/09/2011
Tradise Paperless 1.0 Training Digital Security S.L. 19/12/2011
OnBase 11 Hayland Software inc. 15/06/2012
GseDocuCert 1.0 Gabinete de Software Empresarial 07/09/2012
GesDocumental 2.0 Informática y Desarrollo de Software S.L 19/09/2012
FactUM 3.0 Universidad de Murcia 14/09/2012
SDC Oracle 1.0 European Agency of Digital Trust, S.L. 01/10/2012
Idoneo.NET 1.1 Abysal System S.L. 30/10/2012
Repcon DC 1.0 Semantic Systems S. L. 21/01/2013
GerSoft-DC 1.0 Gersoft Hispania S.L. 20/02/2013
Livelink ECM-digitalización certificada 1.1 Open Text Software S. L. U 02/04/2013
DocGes Digitalización Certificada 1.0 Programación Integral, SA 12/04/2013
OnBase 12 Hyland Software Inc. 22/04/2013
Docuware 6.0 DocuWare S.L 15/07/2013
Captio Cert 1.0 Ongest Gestiones y Servicios Internet S.L. ( esta empresa ha cambiado su denominación a CAPTIO TECH S.L.) 09/08/2013
Esker DeliveryWare 6.0 ESKER Ibérica S. L. 04/12/2013
Efacturanet dc 1.0 EVINTIA S.L. 28/03/2014
GesBan Digital 1.0 Ingeniería del software bancario S.L. 03/04/2014
Le Moustache Club (cambia denom.) 1.0 APP TO IU YOU MOBILITY, S. L. (cambia denom.) 04/04/2014
DIGCERT 1.0 Sociedad de Explotación de Redes Electrónica y Servicios S.A. 10/04/2014
ADAR 3.8 Docout S.L. 24/04/2014
EXACCTA (antes Le Moustache Club) 1.0 Le Moustache Club S.L. (Antes APP TO IU MOBILITY) 09/07/2014
Doku4Invoices 1.0 Paina Nuevas Tecnologias S. L. 14/07/2014
MyDocument (Núcleo EdasFacturas) 1.0 DocQuijote Software S. L. 03/09/2014
DocQuijote (Núcleo EdasFacturas) 1.0 DocQuijote Software S. L. 03/09/2014
IVA FREE DigCert 2.0.0 GROWTH TECHNOLOGIES S.L: 04/04/2015
Livelink ECM-digitalización certificada 1.2 Open Text Software SLU 03/12/2014
Invoca Documentum 1.0 INFORMÁTICA EL CORTE INGLES S.A. 16/12/2014
IreneDC 3.0 Manuel Diago García 21/01/2015
EJIDOSOFT DC 1.0 EJIDO SOFT S. L. 12/02/2015
ECS DC 1.0 Electronic Certification Services S. L. 10/03/2015
TICKELIA 10 MULTIMOS S.A. 08/04/2015
Digitaldocu-AECID 1.0 Ofimática Digital SLU 14/04/2015
Trans 2000 1.0 MASTERSOFT 2000 29/07/2015
ATMGERES Digitalización Certificada 1.0 ATM2 S. L. 03/09/2015
ANFIX 1.0 Anfix Software S.L. 27/10/2015
GERNOTAS-DC 1.0 GERSOFT HISPÂNIA S.L. 05/11/2015
EDASFACTURAS 3.1 ZEROCOMA S.L. 04/12/2015
LE MOUSTACHE CLUB (cambio ver) 1.1 LE MOUSTACHE CLUB S.L. 22/12/2015
TRAVEL & EXPENSES 7.00.210 UNIT4 Business Software Ibérica S. A. 21/03/2016
BIZHUB (Núcleo Edas Facturas V3.1) 1.0 Konica Minolta Business Solutions Spain S.A. (Acuerdo con Zerocoma S.L.) 06/05/2016
EDAS SCAN PRO 2.0 ZEROCOMA S.L. 31/05/2016
IVAFREE DigCert (Cambio Vers.) 2.1.2000 GROWTH TECHNOLOGIES S.L. 10/05/2016
GIFF MODULO DC 1.0 FEDERACIO FARMACEUTICA S. COOP. C.L. 13/06/2016
OnBase (act. Algoritmos) 15 HYLAND Software Inc. 13/01/2016
eBit Digitalize 1.0 BIT ON Consultores S. L. 05/09/2016
Continia Digital Documens 1.0 CONTINIA SOFTWARE A/S 22/06/2016
TICKELIA (paso a V13) 13 MULTIMOS S. A. 23/06/2016
MyTickets. 1.0 Indra Sistemas S. A. 08/09/2016
Digitaliz@ 1.0 SERVINFORM S.A. 03/10/2016
VINCLE-Doc 5.0 VINCLE Internacional de Tecnología y Sistemas S.A. 04/10/2016
SABBATIC DC 1.0 PAOPAO DIGITAL S.L. 03/11/2016
Captio Cert 1.0 CAPTIO TECH S.L., Antes Ongest Gestiones y Servicios Internet SL 09/08/2013
Premier Archive 2.0 PREMIER TAX FREE SA 21/02/2017
Ticketless 1.0 QUANTUM ECONOMICS SL 09/02/2017
CLOUD XPENSES
(Nucleo Edas Facturas V3.1)
1.0 CLOUBITY ENTERPRISE SOLUTIONS S.L. (Acuerdo con Zerocoma S.L.) 27/02/2017
NOTILUS HOMOLOGACIÓN 1.0 D.I.M.O SOFTWARE S.A.S OFICINA DE REPRESENTACIÓN EN ESPAÑA 02/03/2017
UpACTiva-Módulo de digitalización certificada 1.0 CHEQUE DEJEUNER ESPAÑA S.A. 07/03/2017
Comarch ECM DC 1.0 COMARCH SOFTWARE SPAIN S.L.U 28/03/2017
XPENDITURE 2.0 XPENDITURE N.V. REPRESENTADA EN ESPAÑA POR GARCIA BLAY, ALEXANDRE (N.I.F: 46129213E) 05/04/2017