Archivo de la categoría: Biometría

Nuevas opciones de identificación a distancia para prestadores de servicios de certificación.


El artículo 24 del Reglamento eIDAS (Reglamento UE nº 910/2014) define varias formas en las que los prestadores de servicios de certificación pueden identificar a sus clientes solicitantes de certificado.  En su apartado 1 se indica:

1. Al expedir un certificado cualificado para un servicio de confianza, un prestador cualificado de servicios de confianza verificará, por los medios apropiados y de acuerdo con el Derecho nacional, la identidad y, si procede, cualquier atributo específico de la persona física o jurídica a la que se expide un certificado cualificado.

La información a que se refiere el párrafo primero será verificada por el prestador de servicios de confianza bien directamente o bien por medio de un tercero de conformidad con el Derecho nacional.

a) en presencia de la persona física o de un representante autorizado de la persona jurídica, o

b) a distancia, utilizando medios de identificación electrónica, para los cuales se haya garantizado la presencia de la persona física o de un representante autorizado de la persona jurídica previamente a la expedición del certificado cualificado, y que cumplan los requisitos establecidos con el artículo 8 con respecto a los niveles de seguridad «sustancial» o «alto», o

c) por medio de un certificado de una firma electrónica cualificada o de un sello electrónico cualificado expedido de conformidad con la letra a) o b), o

d) utilizando otros métodos de identificación reconocidos a escala nacional que aporten una seguridad equivalente en términos de fiabilidad a la presencia física. La seguridad equivalente será confirmada por un organismo de evaluación de la conformidad.

Hoy se ha conocido que la Agencia Tributaria equipara un video selfie a otras modalidades de identificación (entre las que se incluyen la identificación por certificado) para permitir el cambio del número de teléfono móvil asociado a la identificación con sistema Cl@ve gestionada por la propia Agencia Tributaria y que es posible usar en todas las administraciones públicas:

Registro Cl@ve

En el epígrafe “Modificación del teléfono aportando vídeo y documentación relacionada” se indica:

Avisos

  • Mediante este trámite puede modificar el teléfono móvil asociado a su registro en Cl@ve aportando la información relacionada, que incluye un vídeo utilizado para contrastar su identidad.
  • Puede obtener más información sobre este trámite pinchando aquí
  • En la documentación deberá presentar:
  • Copia del DNI/NIE por las dos caras.
  • En el caso de los NIE, copia de la primera hoja del pasaporte.
  • Copia de la última factura del nuevo teléfono móvil que quiere dar de alta en Cl@ve, en la que se visualice dicho número. No es necesario que se vean otros datos personales (números de IBAN) ni de consumo.
  • Video autorretrato grabado por el solicitante (tipo video selfie) de máximo un minuto de duración en el que se muestre el DNI/NIE por las dos caras y donde el solicitante debe dar esta información:
    • Nombre y apellidos.
    • DNI/NIE.
    • Trámite que quiere realizar.
    • Número de teléfono que quiere registrar.
    • Puede usar esta frase a modo de guion:
      “Me llamo XXXX YYYY ZZZ, mi DNI es el 00000000 y quiero modificar el número de teléfono de mi registro en Cl@ve. El nuevo número es el 66666666” al tiempo que muestra el DNI/NIE por las dos caras.
      El video debe realizarse en una sola toma y sin cortes, en condiciones de luz que permitan identificar claramente al solicitante.

Esto es una gran noticia para los prestadores de servicios de certificación que, además de los procedimientos autorizados por el SEPBLAC podrán adoptar la posibilidad de admitir “Video autorretratos grabados por los solicitantes” tal como lo describe la Agencia Tributaria.

Tenemos, pues, un nuevo método de identificación reconocido a escala nacional de los que recoge el Reglamento Europeo EIDAS.

Invitación abierta – Grupo de Trabajo de AMETIC – Buenas prácticas en el campo de la video-identificación y el video onboarding


El próximo lunes 12 de noviembre se celebrará a las 12:00 una reunión en AMETIC para constituir un Grupo de Trabajo de Identidad Digital que yo presido y que excepcionalmente está abierto a entidades que no sean miembros de AMETIC.

El objetivo del grupo es elaborar un documento titulado provisionalmente “Guidelines o buenas prácticas en el campo de la video-identificación y el video onboarding” orientado a prestadores de servicios de certificación en el marco del EIDAS y a entidades financieras y otras de los ámbitos FinTech e Insurtech que vean útil contar con un procedimiento consensuado que refleje las mejores prácticas en identificación remota de usuarios, alineadas con la normativa de Prevención de Blanqueo de Capitales y Financiación del Terrorismo.

En el Grupo de Trabajo de Identidad Digital de AMETIC se compartirá la información pública difundida en el marco de las actividades del Grupo de Expertos de la Comisión Europea sobre técnicas de “Conoce a tu Cliente”, del que formo parte y del que se puede ver más información en este enlace:

Este grupo de expertos europeo ha tenido varias reuniones los pasados meses (9 de abril y 10 de julio) y un Taller (Workshop with providers of remote on-boarding solutions) el 28 de septiembre. La tercera reunión formal del grupo tiene lugar mañana 9 de noviembre en Bruselas, por lo que en la reunión del lunes 12 de noviembre podremos trabajar con la información más reciente en lo que se refiere a los avances en Europa.

  El objetivo de este artículo es invitar a las entidades interesadas a participar en este Grupo de Trabajo. Si lees este artículo y piensas que alguien pueda estar interesado, házselo llegar. Esta invitación se puede hacer extensiva a otras personas y entidades.

Para confirmar la asistencia, llamar lo antes posible a AMETIC (Madrid: 915 90 23 00, Barcelona: 93 241 80 60).

La dirección de AMETIC es:

  • Principe de Vergara, 74, 4ª planta – 28006 Madrid.

Para los que os vaya mejor Barcelona:

  • Avda. Sarriá, 28, 1º- 1ª – 08029 Barcelona.

Ambas sedes están conectadas por un sistema de videoconferencia

Empresas españolas con soluciones de Videonboarding e Identificación remota


Estoy recopilando información de empresas que ofrecen soluciones de identificación a distancia y “video onboarding”, y ya he identificado unas cuantas:

  • Lleidanet – eKYC Onboarding
  • Deloitte – OBA (Onboarding App)
  • Ecertic – KYDC (Know Your Digital Customer)
  • Electronic Identification (electronicID) – VideoID
  • ICAR vision (Mitek) – IDMobile
  • Branddocs  – TrustCloud VídeoConferencia

En estos momentos el interés por este tema es superior porque participo en el Grupo de Expertos de la Comisión Europea sobre técnicas de “Conoce a tu Cliente”, y las empresas identificadas con posibilidad de prestar estos servicios se incluirán en un informe disponible para la Comisión Europea y para las entidades participantes en los trabajos.

Así que aprovecho este articulo para pedir a quienes conozcan entidades que prestan estos servicios o los incorporan en sus estrategias (como las entidades financieras) que me hagan llegar la información suficiente para identificarlas.

 

Plataformas certificadas de firma digitalizada


A lo largo de los últimos años, EADTrust ha evaluado diversas plataformas para la gestión de firmas manuscritas digitalizadas con tecnologías que permiten que se las encuadre entre las firmas electrónicas avanzadas que define el reglamento europeo UE 910/2014 (EIDAS).

Estas firmas, por la forma en que conservan la información biométrica de las firmas manuscritas permiten su cotejo por los peritos calígrafos en caso de que su autenticidad se haya de dilucidar en juicio o en otro contexto de resolución de controversias. Admiten, por tanto, un modelo que permite definir las firmas indubitadas y las controvertidas para su análisis y comparación.

Se benefician por tanto de una cualidad que el Reglamento EIDAS atribuye a las firmas electrónicas cualificadas: su equivalencia con las firmas manuscritas, porque son firmas manuscritas.

logo-sello_fmda-platform_peq

 Además, como la mayor parte de las firmas manuscritas, tienen la propiedad de la inmediación (están hechas por la mano del firmante sin que intermedie un dispositivo técnico o mecánico) de la que carecen las firmas electrónicas realizadas con certificados digitales, inclusive las firmas electrónicas cualificadas.

EADTrust ha definido un distintivo específico para identificar a las soluciones auditadas con características de plataforma, y que se diferencia del distintivo otorgado a las entidades que adoptan la tecnología y la integran con sus sistemas para recoger firmas que forman parte de sus flujos de negocio (este tipo de entidades se denominan “promotoras” en el contexto de los sistemas de FMDA impulsados por EADTrust)  .

Las plataformas deben permitir cumplir los 10 principios generales definidos por EADTrust, pero algunos de tales principios suponen retos de cumplimiento especialmente orientados hacia las entidades promotoras, que adoptan las plataformas para captar las firmas de sus clientes o potenciales clientes.

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD y al RGPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Documentos de filiación como fuente de identidad


Los documentos de filiación (breeder documents) son documentos básicos que un individuo debe presentar para obtener otros documentos, como documentos de identidad, licencias de conducir o pasaportes. Los documentos de filiación incluyen las partidas de nacimiento y bautismales.

Los documentos de filiación, en particular los certificados de nacimiento, representan el vínculo básico entre un individuo y la comunidad donde nace y vive un individuo, y es la prueba documental básica de nacionalidad y ciudadanía.

En la mayor parte del mundo, los documentos de filiación son documentos con pocas medidas de seguridad pese a constituir la base de la identidad de los ciudadanos. Esta falta de seguridad ha llevado a un defecto inherente en todos los procesos de creación de identidad utilizando los documentos de filiación como prueba de identidad o de fuente de la prueba.

ARCADIO SUAREZ – C.270508 – R. MATERNO IDENTIFICACION DE BEBE -SP_20080527

Los dermatoglifos del pie de los recién nacidos (información biométrica en forma digital de la huella plantar) basados ​​en procedimientos consolidados llevados a cabo por los hospitales, podrían asociarse a registros de nacimiento usando criptografía para proteger aún más los documentos de filiación, y, en particular, los registros de registro civil digital.

Más información sobre la firma manuscrita digitalizada: ¿es firma electrónica avanzada?


Llevo varios años explicando como se puede desarrollar un sistema que capta firmas manuscritas de forma que tengan la consideración de firma electrónica avanzada según la definición del Reglamento europeo UE 910/2014 (#eIdAS) e impulsando en EADTrust un modelo (un “ecosistema” si se me permite usar la palabra en ese sentido) que puede ser auditado y certificado.

En estos años hemos auditado varias soluciones en entidades del sector sanitario, financiero y de telecomunicaciones que pueden lucir los certificado expedidos por EADTrust que lo acreditan.

Muchas de las ideas relacionadas con la firma biométrica y la firma digitalizada las he recogido en un sencillo blog especializado.

Se indican seguidamente alguno de los artículos más recientes recogidos en dicho blog:

 

 

Voto electrónico en la empresa y en los organismos


Recientemente se ha publicado en Noticias de Navarra el artículo de Amaya Quincoces sobre Voto Electrónico que, aunque menciona el voto electrónico societario se centra en el voto electoral orientado a definir la composición de algunas instituciones del estado.

¿Cómo funciona el voto electrónico electoral?

No sólo por voluntad política se fragua la decisión de implantar o no el voto electrónico electoral en un país, una opción aún no recogida en la ley española, salvo en la CAV, sino que también influyen factores como el previsible coste de la medida y la disposición social al cambio, según expertos.

MADRID (EFE) 17 de mayo de 2015.

Voto-con-máquina-electronicaEl voto electrónico electoral, vigente en varios países, es el ejercido con dispositivos tecnológicos; bien de forma remota, dígase con móvil, tableta u ordenador, bien de manera presencial ante la mesa electoral con máquinas que garantizan el sufragio digital.

En España el voto electrónico, que sí está garantizado legalmente desde 2005, en contraste con el electoral, es el societario, es decir, el de empresas que cotizan en Bolsa, por ejemplo para votaciones en Juntas de accionistas.

La tecnología del voto electrónico está altamente desarrollada, con empresas españolas punteras en este ámbito, han asegurado a Efefuturo responsables empresariales del sector, como el director de Desarrollo de Negocio de Procesos Electorales de Indra, Javier Viejo, y el presidente de la European Agency of Digital Trust, Julián Inza.

Según los expertos, la seguridad en el voto electrónico es clave para su funcionamiento y está garantizada; en ocasiones incluso más que en el caso del voto presencial, porque en este supuesto la persona puede verse obligada a meter en el sobre la papeleta que otro quiere.

A la hora de votar, la seguridad es básica tanto para la identificación del elector para evitar posibles suplantaciones de personalidad, como en lo que toca a la privacidad con el fin de garantizar la confidencialidad del voto y resto de trámites del proceso, además de la transmisión de resultados y el recuento.

La tecnología actual permite votar de forma electrónica desde el propio colegio electoral con maquinas DRE (de emisión directa del voto), vinculadas a pantallas táctiles, o con aparatos que generan tarjetas magnéticas que son leídas una vez introducidas en urnas especiales, entre otros sistemas.

Para votaciones en remoto con tabletas u otros dispositivos, por ejemplo desde el hogar, los sistemas incluyen repositorios virtuales, en donde elegir papeleta de forma secreta y realizar el trámite electoral “on line”, de forma encriptada y con garantías de un voto libre de forma segura.

La biometría, una tecnología que identifica características morfológicas y de comportamiento únicas e intransferibles de las personas, como el iris del ojo o la huella digital, combinada con el uso de certificados digitales y documentos como el DNI electrónico, aportan garantías añadidas de seguridad que aseguran que el votante es quien dice ser, según los expertos.

Brasil, EE.UU., Venezuela o Filipinas son sólo algunos países en donde se ejerce ya el voto electrónico. En otros, como el Reino Unido o Noruega existen tecnologías muy avanzadas como el sistema “e-counting” para dinamizar el recuento a partir de escáneres que automatizan la lectura de papeletas desde la misma urna.

Según los expertos, España tendría que modificar la Ley electoral para que se pudiera votar, una opción que sólo hoy es posible en la CAV, pese a que no la está ejerciendo.

No obstante, en este país sí existe tecnología en varias fases del proceso electoral para agilizar trámites; por ejemplo, en la transmisión de datos a los sistemas centrales, el recuento de resultados y la gestión de actas.

De hecho, de cara a las próximas elecciones municipales del 24 de mayo, Indra distribuirá 21.000 tabletas electrónicas en centros electorales españoles, lo que duplicará el número de dispositivos móviles usados en los anteriores comicios locales para cubrir la transmisión de datos.

Existen tecnologías como la transmisión electrónica de resultados o la Mesa Administrada Electrónicamente (MAE), implementadas progresivamente en España, que permiten obtener buena parte de los beneficios del voto electrónico (rapidez, exactitud y simplificación de las tareas de la mesa electoral, entre otras) dentro del marco legal preexistente, explican desde Indra.

La implantación o no del voto electrónico electoral genera debates no sólo por temas de seguridad, sino además por la idoneidad o no de establecerlo en un momento dado, porque es algo que exige reflexionar antes en profundidad sobre sus beneficios y desventajas.

Se trata de un tema “complejo” que requiere de un análisis profundo a la hora de valorar previamente las ventajas que tendría implantarlo o no, ha asegurado el responsable de Indra.

Entre los factores que deben ponderarse a la hora de decidir sobre esta cuestión no está únicamente la voluntad política de hacerlo, aunque es necesaria, por supuesto, sino que influyen otras muchas variables, dice.

Por ejemplo, el supuesto coste económico, el previsible impacto de la brecha digital social (el porcentaje de gente que no puede, no sabe o no quiere usar tecnología) o el riesgo de cambiar por otro nuevo un sistema de voto tradicional que está funcionando bien.

Desde el punto de vista de costes, a modo de ejemplo sólo en España, aparte del gasto en sistemas, la implantación del voto electrónico presencial exigiría al menos incorporar máquinas electrónicas en aproximadamente 60.000 mesas electorales.

Siempre se pueden implantar soluciones híbridas, ha añadido por su parte, el responsable de la European Agency of Digital Trust, para quien el sufragio digital podría ser “complementario del físico”, si en algún momento se decidiera su implantación en países como España.

Ha afirmado que, para el voto concreto de ciudadanos que residen en el extranjero, el sufragio digital tendría claramente más ventajas que inconvenientes respecto al físico; en su opinión, la participación electoral desde fuera podría verse impulsada con sistemas tecnológicos que simplificaran su gestión.

Medios de pago basados en Biocriptología


Hace unos años asesoré a la empresa Hanscan, especialista en investigación y desarrollo de sistemas biométricos, en el diseño de un nuevo sistema de medios de pago basado en la prestación del consentimiento asociada al uso de huella dactilar en sensores especialmente diseñados, que tendrían algunas funciones parecidas a los TPV.

El término biocriptología surgió en una revisión de las ideas clave del sistema con Nicolás Antequera y Klaas Zwart. Una medida de seguridad especial consistía en que no se almacenabna los datos biométricos de la persona sino una función derivada con elementos determinísticos pero impredecibles. Algo así como una función hash vectorial derivada de la información biométrica, pero que cambiaba en cada ocasión, de forma similar a los tokens generadores de claves OTP.

A Klass el término le gustó mucho y se acabó convirtendo en el concepto clave de los desarrollos de Hanscan y de otras empresas que creó para impulsar el concepto.

Aunque me desvinculé de aquel proyecto hace algún tiempo, me produce una cierta satisfacción que se completaran los desarrollos y se llegaran a implantar proyectos piloto con empresas hermanas de Hanscan como Nexus SmartPay y Primary Net, y Nexus USA que desplegó la solución en el Campus de la Escuela de Minas y Tecnología de Dakota del Sur:

Además se han producido algunos vídeos interesantes sobre el tema:

Antonio Banderas of Nexus Smart Pay speaks at School of Mines & Technology Press Conference

The School of Mines made international headlines earlier this year with the announcement it would become the first to test life as a biometrics campus using foilproof Biocryptology® that goes beyond a fingerprint to read multiple layers into the skin and detect hemoglobin in the blood. The patented technology on the back end turns each finger scan into a series of valueless numbers that change every time the finger is introduced. Data encryption ensures security, as the numbers can’t be reproduced in a meaningful way, not by merchants, law enforcement, hackers or even Nexus Smart Pay. Antonio will be referring to Klaas Zwaart and Klaas’s invention of the world’s first totally secure Biocryptic fingerprint payment system.

Nexus Smart Pay Restaurant (with Antonio Banderas)

Nexus Smart Pay  (with Antonio Banderas)

Klaas Zwart and Antonio Banderas in Rapid City talking about biocryptology, nexus smart pay and racing

El futuro de los medios de pago


Cuando intentamos adivinar el futuro de los medios de pago, y nuestro informe de prospectiva lo dejamos fijado a algún soporte (por escrito, una imagen, una descripción audible o un video) corremos el riesgo de que quien lo vea desde el futuro sonría por nuestra ingenuidad (y falta de ambición) o por lo contrario si planteamos cosas imposibles.

Ahora nos encontramos en la posición de contemplar como otros adivinaron el futuro, comparando lo que se vaticinaba con lo que conocemos.

El siguiente video de finales de 1969 es un documental de la BBC sobre como sería la banca del futuro, con la aparición estelar de uno de los primeros TPV (Terminal Punto de Venta) o POS (Point os Sale), que hoy nos parecen poco prácticos.

Y este otro video (que ya mencioné en el post Uso de la biometría en medios de pago) nos anunciaba desde el año 2001 que nos preparámos para el uso de la biometría, en nuestra tarjeta VISA.

No parece que finalmente la tendencia haya sido la generalización de la biometría, a pesar de que es una tecnología que ha avanzado mucho.

Hoy en dia, algunas tendencias apuntan a la integración de los medios de pago con el teléfono móvil, con tecnologías como NFC, o iniciativas como iZettle. SumUp, Square, PayPal, Payleven, BitCoin,…

Por mi experiencia en Movilpago y Mobipay, entreveo los problemas a los que se enfrentan las diferentes propuestas y tengo mi opinión sobre las iniciativas más prometdoras.

Así que os propongo que os inscribáis en el próximo seminario que imparto en Atenea Interactiva Últimos avances en Medios de Pago – Noviembre 2013 que tendrá lugar el 5 de Noviembre de 2013 en el Hotel Meliá Avenida América (Madrid).

Es un repaso a los elementos básicos de los medios de pago: tarjetas, TPVs, Cajeros automáticos (ATM), marcas de tarjetas, tecnologías (banda magnética, chip, EMV, 3D secure; NFC,…) y una acalorada discusión entre todos los participantes sobre cómo será el futuro de los medios de pago.

Uso de la biometría en medios de pago


Hace unos años en el 2001, un visionario anuncio de VISA permitía vaticinar que en el futuro, los medios de pago serían en buena medida biométricos

_

En la actualidad, no se ha desarrollado mucho esta posibilidad pero al menos ha aparecido la opción de capturar de forma biométrica las firmas manuscritas en algunos TPVs que implementan la tecnología Electronic Signature Capture Technology (ESCT).

En la actualidad, las exigencias de VISA y Mastercard para la captura de firmas son muy laxas (aunque en otros ámbitos se aplican las normas PCI DSS), por lo que se hace preciso llevar a cabo una auditoría de mayor calado, que permita establecer el cumplimiento de los requisitos impuestos en España por la LOPD y otros.