Archivo de la categoría: Biometría

Plataformas certificadas de firma digitalizada


A lo largo de los últimos años, EADTrust ha evaluado diversas plataformas para la gestión de firmas manuscritas digitalizadas con tecnologías que permiten que se las encuadre entre las firmas electrónicas avanzadas que define el reglamento europeo UE 910/2014 (EIDAS).

Estas firmas, por la forma en que conservan la información biométrica de las firmas manuscritas permiten su cotejo por los peritos calígrafos en caso de que su autenticidad se haya de dilucidar en juicio o en otro contexto de resolución de controversias. Admiten, por tanto, un modelo que permite definir las firmas indubitadas y las controvertidas para su análisis y comparación.

Se benefician por tanto de una cualidad que el Reglamento EIDAS atribuye a las firmas electrónicas cualificadas: su equivalencia con las firmas manuscritas.

Las firmas que denominamos FMDA no son firmas cualificadas, porque no se basan en el uso de certificados cualificados. Sin embargo, no necesitan que una norma establezca la equivalencia funcional con las firmas manuscritas, porque son firmas manuscritas.

Además, como la mayor parte de las firmas manuscritas, tienen la propiedad de la inmediación (están hechas por la mano del firmante sin que intermedie un dispositivo técnico o mecánico) de la que carecen las firmas electrónicas realizadas con certificados digitales, inclusive las firmas electrónicas cualificadas.

logo-sello_fmda-platform_peqEADTrust ha definido un distintivo específico para identificar a las soluciones auditadas con características de plataforma, y que se diferencia del distintivo otorgado a las entidades que adoptan la tecnología y la integran con sus sistemas para recoger firmas que forman parte de sus flujos de negocio (este tipo de entidades se denominan “promotoras” en el contexto de los sistemas de FMDA impulsados por EADTrust)  .

Las plataformas deben permitir cumplir los 10 principios generales definidos por EADTrust, pero algunos de tales principios suponen retos de cumplimiento especialmente orientados hacia las entidades promotoras, que adoptan las plataformas para captar las firmas de sus clientes o potenciales clientes.

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD y al RGPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

Documentos de filiación como fuente de identidad


Los documentos de filiación (breeder documents) son documentos básicos que un individuo debe presentar para obtener otros documentos, como documentos de identidad, licencias de conducir o pasaportes. Los documentos de filiación incluyen las partidas de nacimiento y bautismales.

Los documentos de filiación, en particular los certificados de nacimiento, representan el vínculo básico entre un individuo y la comunidad donde nace y vive un individuo, y es la prueba documental básica de nacionalidad y ciudadanía.

En la mayor parte del mundo, los documentos de filiación son documentos con pocas medidas de seguridad pese a constituir la base de la identidad de los ciudadanos. Esta falta de seguridad ha llevado a un defecto inherente en todos los procesos de creación de identidad utilizando los documentos de filiación como prueba de identidad o de fuente de la prueba.

ARCADIO SUAREZ – C.270508 – R. MATERNO IDENTIFICACION DE BEBE -SP_20080527

Los dermatoglifos del pie de los recién nacidos (información biométrica en forma digital de la huella plantar) basados ​​en procedimientos consolidados llevados a cabo por los hospitales, podrían asociarse a registros de nacimiento usando criptografía para proteger aún más los documentos de filiación, y, en particular, los registros de registro civil digital.

Más información sobre la firma manuscrita digitalizada: ¿es firma electrónica avanzada?


Llevo varios años explicando como se puede desarrollar un sistema que capta firmas manuscritas de forma que tengan la consideración de firma electrónica avanzada según la definición del Reglamento europeo UE 910/2014 (#eIdAS) e impulsando en EADTrust un modelo (un “ecosistema” si se me permite usar la palabra en ese sentido) que puede ser auditado y certificado.

En estos años hemos auditado varias soluciones en entidades del sector sanitario, financiero y de telecomunicaciones que pueden lucir los certificado expedidos por EADTrust que lo acreditan.

Muchas de las ideas relacionadas con la firma biométrica y la firma digitalizada las he recogido en un sencillo blog especializado.

Se indican seguidamente alguno de los artículos más recientes recogidos en dicho blog:

 

 

Voto electrónico en la empresa y en los organismos


Recientemente se ha publicado en Noticias de Navarra el artículo de Amaya Quincoces sobre Voto Electrónico que, aunque menciona el voto electrónico societario se centra en el voto electoral orientado a definir la composición de algunas instituciones del estado.

¿Cómo funciona el voto electrónico electoral?

No sólo por voluntad política se fragua la decisión de implantar o no el voto electrónico electoral en un país, una opción aún no recogida en la ley española, salvo en la CAV, sino que también influyen factores como el previsible coste de la medida y la disposición social al cambio, según expertos.

MADRID (EFE) 17 de mayo de 2015.

Voto-con-máquina-electronicaEl voto electrónico electoral, vigente en varios países, es el ejercido con dispositivos tecnológicos; bien de forma remota, dígase con móvil, tableta u ordenador, bien de manera presencial ante la mesa electoral con máquinas que garantizan el sufragio digital.

En España el voto electrónico, que sí está garantizado legalmente desde 2005, en contraste con el electoral, es el societario, es decir, el de empresas que cotizan en Bolsa, por ejemplo para votaciones en Juntas de accionistas.

La tecnología del voto electrónico está altamente desarrollada, con empresas españolas punteras en este ámbito, han asegurado a Efefuturo responsables empresariales del sector, como el director de Desarrollo de Negocio de Procesos Electorales de Indra, Javier Viejo, y el presidente de la European Agency of Digital Trust, Julián Inza.

Según los expertos, la seguridad en el voto electrónico es clave para su funcionamiento y está garantizada; en ocasiones incluso más que en el caso del voto presencial, porque en este supuesto la persona puede verse obligada a meter en el sobre la papeleta que otro quiere.

A la hora de votar, la seguridad es básica tanto para la identificación del elector para evitar posibles suplantaciones de personalidad, como en lo que toca a la privacidad con el fin de garantizar la confidencialidad del voto y resto de trámites del proceso, además de la transmisión de resultados y el recuento.

La tecnología actual permite votar de forma electrónica desde el propio colegio electoral con maquinas DRE (de emisión directa del voto), vinculadas a pantallas táctiles, o con aparatos que generan tarjetas magnéticas que son leídas una vez introducidas en urnas especiales, entre otros sistemas.

Para votaciones en remoto con tabletas u otros dispositivos, por ejemplo desde el hogar, los sistemas incluyen repositorios virtuales, en donde elegir papeleta de forma secreta y realizar el trámite electoral “on line”, de forma encriptada y con garantías de un voto libre de forma segura.

La biometría, una tecnología que identifica características morfológicas y de comportamiento únicas e intransferibles de las personas, como el iris del ojo o la huella digital, combinada con el uso de certificados digitales y documentos como el DNI electrónico, aportan garantías añadidas de seguridad que aseguran que el votante es quien dice ser, según los expertos.

Brasil, EE.UU., Venezuela o Filipinas son sólo algunos países en donde se ejerce ya el voto electrónico. En otros, como el Reino Unido o Noruega existen tecnologías muy avanzadas como el sistema “e-counting” para dinamizar el recuento a partir de escáneres que automatizan la lectura de papeletas desde la misma urna.

Según los expertos, España tendría que modificar la Ley electoral para que se pudiera votar, una opción que sólo hoy es posible en la CAV, pese a que no la está ejerciendo.

No obstante, en este país sí existe tecnología en varias fases del proceso electoral para agilizar trámites; por ejemplo, en la transmisión de datos a los sistemas centrales, el recuento de resultados y la gestión de actas.

De hecho, de cara a las próximas elecciones municipales del 24 de mayo, Indra distribuirá 21.000 tabletas electrónicas en centros electorales españoles, lo que duplicará el número de dispositivos móviles usados en los anteriores comicios locales para cubrir la transmisión de datos.

Existen tecnologías como la transmisión electrónica de resultados o la Mesa Administrada Electrónicamente (MAE), implementadas progresivamente en España, que permiten obtener buena parte de los beneficios del voto electrónico (rapidez, exactitud y simplificación de las tareas de la mesa electoral, entre otras) dentro del marco legal preexistente, explican desde Indra.

La implantación o no del voto electrónico electoral genera debates no sólo por temas de seguridad, sino además por la idoneidad o no de establecerlo en un momento dado, porque es algo que exige reflexionar antes en profundidad sobre sus beneficios y desventajas.

Se trata de un tema “complejo” que requiere de un análisis profundo a la hora de valorar previamente las ventajas que tendría implantarlo o no, ha asegurado el responsable de Indra.

Entre los factores que deben ponderarse a la hora de decidir sobre esta cuestión no está únicamente la voluntad política de hacerlo, aunque es necesaria, por supuesto, sino que influyen otras muchas variables, dice.

Por ejemplo, el supuesto coste económico, el previsible impacto de la brecha digital social (el porcentaje de gente que no puede, no sabe o no quiere usar tecnología) o el riesgo de cambiar por otro nuevo un sistema de voto tradicional que está funcionando bien.

Desde el punto de vista de costes, a modo de ejemplo sólo en España, aparte del gasto en sistemas, la implantación del voto electrónico presencial exigiría al menos incorporar máquinas electrónicas en aproximadamente 60.000 mesas electorales.

Siempre se pueden implantar soluciones híbridas, ha añadido por su parte, el responsable de la European Agency of Digital Trust, para quien el sufragio digital podría ser “complementario del físico”, si en algún momento se decidiera su implantación en países como España.

Ha afirmado que, para el voto concreto de ciudadanos que residen en el extranjero, el sufragio digital tendría claramente más ventajas que inconvenientes respecto al físico; en su opinión, la participación electoral desde fuera podría verse impulsada con sistemas tecnológicos que simplificaran su gestión.

Medios de pago basados en Biocriptología


Hace unos años asesoré a la empresa Hanscan, especialista en investigación y desarrollo de sistemas biométricos, en el diseño de un nuevo sistema de medios de pago basado en la prestación del consentimiento asociada al uso de huella dactilar en sensores especialmente diseñados, que tendrían algunas funciones parecidas a los TPV.

El término biocriptología surgió en una revisión de las ideas clave del sistema con Nicolás Antequera y Klaas Zwart. Una medida de seguridad especial consistía en que no se almacenabna los datos biométricos de la persona sino una función derivada con elementos determinísticos pero impredecibles. Algo así como una función hash vectorial derivada de la información biométrica, pero que cambiaba en cada ocasión, de forma similar a los tokens generadores de claves OTP.

A Klass el término le gustó mucho y se acabó convirtendo en el concepto clave de los desarrollos de Hanscan y de otras empresas que creó para impulsar el concepto.

Aunque me desvinculé de aquel proyecto hace algún tiempo, me produce una cierta satisfacción que se completaran los desarrollos y se llegaran a implantar proyectos piloto con empresas hermanas de Hanscan como Nexus SmartPay y Primary Net, y Nexus USA que desplegó la solución en el Campus de la Escuela de Minas y Tecnología de Dakota del Sur:

Además se han producido algunos vídeos interesantes sobre el tema:

Antonio Banderas of Nexus Smart Pay speaks at School of Mines & Technology Press Conference

The School of Mines made international headlines earlier this year with the announcement it would become the first to test life as a biometrics campus using foilproof Biocryptology® that goes beyond a fingerprint to read multiple layers into the skin and detect hemoglobin in the blood. The patented technology on the back end turns each finger scan into a series of valueless numbers that change every time the finger is introduced. Data encryption ensures security, as the numbers can’t be reproduced in a meaningful way, not by merchants, law enforcement, hackers or even Nexus Smart Pay. Antonio will be referring to Klaas Zwaart and Klaas’s invention of the world’s first totally secure Biocryptic fingerprint payment system.

Nexus Smart Pay Restaurant (with Antonio Banderas)

Nexus Smart Pay  (with Antonio Banderas)

Klaas Zwart and Antonio Banderas in Rapid City talking about biocryptology, nexus smart pay and racing

El futuro de los medios de pago


Cuando intentamos adivinar el futuro de los medios de pago, y nuestro informe de prospectiva lo dejamos fijado a algún soporte (por escrito, una imagen, una descripción audible o un video) corremos el riesgo de que quien lo vea desde el futuro sonría por nuestra ingenuidad (y falta de ambición) o por lo contrario si planteamos cosas imposibles.

Ahora nos encontramos en la posición de contemplar como otros adivinaron el futuro, comparando lo que se vaticinaba con lo que conocemos.

El siguiente video de finales de 1969 es un documental de la BBC sobre como sería la banca del futuro, con la aparición estelar de uno de los primeros TPV (Terminal Punto de Venta) o POS (Point os Sale), que hoy nos parecen poco prácticos.

Y este otro video (que ya mencioné en el post Uso de la biometría en medios de pago) nos anunciaba desde el año 2001 que nos preparámos para el uso de la biometría, en nuestra tarjeta VISA.

No parece que finalmente la tendencia haya sido la generalización de la biometría, a pesar de que es una tecnología que ha avanzado mucho.

Hoy en dia, algunas tendencias apuntan a la integración de los medios de pago con el teléfono móvil, con tecnologías como NFC, o iniciativas como iZettle. SumUp, Square, PayPal, Payleven, BitCoin,…

Por mi experiencia en Movilpago y Mobipay, entreveo los problemas a los que se enfrentan las diferentes propuestas y tengo mi opinión sobre las iniciativas más prometdoras.

Así que os propongo que os inscribáis en el próximo seminario que imparto en Atenea Interactiva Últimos avances en Medios de Pago – Noviembre 2013 que tendrá lugar el 5 de Noviembre de 2013 en el Hotel Meliá Avenida América (Madrid).

Es un repaso a los elementos básicos de los medios de pago: tarjetas, TPVs, Cajeros automáticos (ATM), marcas de tarjetas, tecnologías (banda magnética, chip, EMV, 3D secure; NFC,…) y una acalorada discusión entre todos los participantes sobre cómo será el futuro de los medios de pago.

Uso de la biometría en medios de pago


Hace unos años en el 2001, un visionario anuncio de VISA permitía vaticinar que en el futuro, los medios de pago serían en buena medida biométricos

_

En la actualidad, no se ha desarrollado mucho esta posibilidad pero al menos ha aparecido la opción de capturar de forma biométrica las firmas manuscritas en algunos TPVs que implementan la tecnología Electronic Signature Capture Technology (ESCT).

En la actualidad, las exigencias de VISA y Mastercard para la captura de firmas son muy laxas (aunque en otros ámbitos se aplican las normas PCI DSS), por lo que se hace preciso llevar a cabo una auditoría de mayor calado, que permita establecer el cumplimiento de los requisitos impuestos en España por la LOPD y otros.