Archivo de la categoría: Cloud Computing

Digital por diseño


Va llegando el momento de abandonar el término “transformación digital” que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las “piezas de lego” que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos “en la nube”, los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el “soporte duradero” o la “simetría probatoria” (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con “nodos eIDAS” como el español que se instancia a través del sistema “Cl@ve“.

 

Las claves de la transformación digital


Estoy escribiendo el libro sobre las claves de la transformación digital.

En estos momentos el término se ha acuñado y se ha adoptado por diferentes profesionales digitales, pero significa cosas distintas para distintas personas, y cada una lo intepreta desde su experiencia y conocimientos.

Es inevitable y tampoco yo me libraré seguramente de imponer mi sesgo al concepto, aquí adelanto algunas reflexiones:

El concepto de tranformación digital surge de la necesidad de interpretar los signos de la sociedad actual y prever tendencias respecto al comportamiento de los ciudadanos, de los compradores. de los proveedores y de los empleados de las sociedades y de las relaciones de las empresas con todos esos interesados (stakeholders por su denominación anglosajona) y con otras influencias de contexto de desarrollo de los negocios: entidades de gestión de pagos de impuestos, cotizaciones sociales, gestión de controvesias (de tipo societario, mercantil, civil, social, contencioso administrativo,…).

La transformación digital resume el impulso de las entidades de todo tipo para organizarse de modo que los tecnologías de la información y las comunicaciones se adopten internamente por sus empleados y externamente con las personas, empresas y entidades diversas con las que se relacionan.

El contexto que da origen a los signos de la sociedad actual está marcado por estas tendencias:

  • Globalización
  • Inmediatez del acceso a la información
  • Ubicuidad del acceso a los medios de trabajo y ocio digitales
  • Disponibilidad de medios tecnológicos a costes muy bajos
  • Autoformación de los usuarios en ámbitos tecnologícos de su interés, en contextos colaborativos y de asistencia mutua
  • Establecimiento de vínculos de comunicación interpersonales potenciados por medios tecnológicos

La sociedad adopta medios tecnológicos con rapidez y según el momento se popularizan unos u otros conceptos que acaban impregnando el lenguaje de los ciudadanos y de los profesionales a todos los niveles y marcan las estrategias de las empresas:

  • Portales
  • Computación en la nube
  • Big data
  • Terminales inteligentes ultraconectados (teléfonos, tabletas, ordenadores personales)
  • Producción ublicua de contenidos  digitales multiformato, por “prosumidores” que los producen y consumen.
  • Buscadores y metabuscadores que determinan la relevancia y la reputación.

El contexto, los medios tecnológicos, la presión de costes, las expectativas de empleados,clientes y proveedores acaba imponiendo una visión:

¿cómo se debe organizar una empresa para aprovechar mejor los recursos humanos y técnicos y ser más competitiva, más creativa, más veloz, más innovadora, más cercana, más interactiva, proporcionando mejores productos y servicios con mejores precios que los de la competencia?

La respuesta está en el uso de la tecnología y el empoderamiento de los empleados como uno de los instrumentos para atraer y retener el talento.

La tecnología y el ingenio de empleados y directivos mejora la gestión de los recursos humanos, el diseño de los productos y de los servicios, la creaión de nuevos productos y servicios, la entrega de los productos y servicios, el marketing, las ventas, el cobro, la facturación, el servicio postventa.

Prácticamente todo se puede realizar, impulsar, potenciar tecnológicamente. En algún rincón de la organización van quedando los archivos de documentos en papel como el último vestigio de la sociedad finisecular del siglo XX para tratar las controversias que no puedan ser resueltas con medios digitales. Los documentos con valor probatorio frente a Hacienda, frente a la Seguridad Social o para poder lidiar, si se da el caso con demandas judiciales de diverso tipo.

Pero esa “última milla” en papel que se resiste a la digitalización, también puede ser “desmaterializada”. La despapelización, cambia las facturas y los contratos por documentos digitales firmados electrónicamente. Los documentos de control de gestión, por evidencias electrónicas. Las notificaciones postales y los burofaxes por notificaciones digitales.

Ya estamos preparados para que la transformación digital sea total.

Si quieres saber como acabar con los útimos papeles que quedan en tu organización, contacta con nosotros y te diremos qué medios digitales existen  a disposición de tu entidad para mantener el valor probatorio que necesitas sin recurrir a los papeles.

Llama a EADTrust al +34 91 7160555.

 

Cambios en la Ley de Firma Electrónica (Ley 59/2003)


Aunque la técnica legislativa de mezclar “churras” con “merinas” se produce en algunas de las leyes publicadas en España, no nos acostumbramos a encontrar determinados aspectos legales de ciertos tipos en leyes que no tienen mucho que ver con el asunto.

Una de las últimas ocasiones en las que esto se produce es en la Ley 25/2015, de 28 de julio, de mecanismo de segunda oportunidad, reducción de la carga financiera y otras medidas de orden social, que modifica algunos aspectos de la Ley 59/2003 para favorecer el uso de sistemas de firma centralizada.

En mi opinión es una reforma innecesaria o insuficiente, porque aunque parafrasea alguna de sus definiciones parece ignorar la existencia del Reglamento europeo UE 910/2014, que en su exposición de motivos (considerandos 51 y 52) ya da por sobreentendido que es admisible la firma mediante sistemas de firma en la nube o firma centralizada o firma SOA, y no menciona modificaciones tan importantes como la denominación de certificados y firmas electrónicas que deben denominarse “cualificados” en vez de “reconocidos“.

Para los que solo conocen la Ley 59/2003, no obstante, resuelve la supuesta controversia de si la Ley de firma electrónica permite o no la firma a distancia con claves hospedadas por el prestador, lo que para muchos, ya permitía la redacción anterior.

Este es el texto:

Disposición final cuarta. Modificación de la Ley 59/2003, de 19 de diciembre, de firma electrónica.

La Ley 59/2003, de 19 de diciembre, de firma electrónica, queda modificada como sigue:

Uno. El apartado 2 del artículo 3, queda redactado del siguiente modo:

«2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede utilizar, con un alto nivel de confianza, bajo su exclusivo control.»

Dos. El apartado 2 del artículo 6, queda redactado del siguiente modo:

«2. El firmante es la persona que utiliza un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.»

Tres. El apartado 2 del artículo 7, queda redactado como sigue:

«2. La custodia de los datos de creación de firma asociados a cada certificado electrónico de persona jurídica o, en su caso, de los medios de acceso a ellos será responsabilidad de la persona física solicitante, cuya identificación se incluirá en el certificado electrónico.»

Cuatro. La letra c) del artículo 12, queda redactada en los siguientes términos:

«c) Asegurarse de que el firmante tiene el control exclusivo sobre el uso de los datos de creación de firma correspondientes a los de verificación que constan en el certificado.»

Cinco. La letra a) del artículo 18, queda redactada en los siguientes términos:

«a) No almacenar ni copiar, por sí o a través de un tercero, los datos de creación de firma de la persona a la que hayan prestado sus servicios, salvo en caso de su gestión en nombre del firmante. En este caso, se aplicarán los procedimientos y mecanismos técnicos y organizativos adecuados para garantizar que el firmante controle de modo exclusivo el uso de sus datos de creación de firma.

Solo los prestadores de servicios de certificación que expidan certificados reconocidos podrán gestionar los datos de creación de firma electrónica en nombre del firmante. Para ello, podrán efectuar una copia de seguridad de los datos de creación de firma siempre que la seguridad de los datos duplicados sea del mismo nivel que la de los datos originales y que el número de datos duplicados no supere el mínimo necesario para garantizar la continuidad del servicio. No podrán duplicar los datos de creación de firma para ninguna otra finalidad».

Seis. El punto 1.º de la letra b), del artículo 18, queda redactado como sigue:

«1.º Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos, o, en su caso, de los medios que los protegen, así como información sobre los dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.»

Siete. La letra e) del apartado 1 del artículo 20, queda redactada como sigue:

«e) Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación y su entrega por un procedimiento seguro al firmante. Si el prestador de servicios gestiona los datos de creación de firma en nombre del firmante, deberá custodiarlos y protegerlos frente a cualquier alteración, destrucción o acceso no autorizado, así como garantizar su continua disponibilidad para el firmante.»

Ocho. Las letras c) y d) del apartado 1 del artículo 23, quedan redactadas en los siguientes términos:

«c) Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación de éstos o, en su caso, de los medios que den acceso a ellos.

d) No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma o, en su caso, de los medios que den acceso a ellos.»

Nueve. Se añade un apartado 5 al artículo 29 con el siguiente contenido:

«5. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados requisitos. En este caso, los prestadores de servicios correrán con los gastos que ocasione esta evaluación.»

Al margen de estas pequeñas pautas, conviene no olvidar que la Ley 59/2003 como expresión de la transposición de la Directiva 1999/93/CE  quedará derogada en breve, y que en el marco del nuevo reglamento hay que tener en cuenta, en lo que se refiere a la firma en servidor,  la norma EN 419 241 Security requirements for trustworthy systems supporting server signing (signature generation services)

Por cierto, otra de las modificaciones de las que van cayendo gota a gota de la Ley de Firma Electrónica es la que hace unos pocos meses se encargó de extender la validez de los certificados cualificados a cinco años, para simplificar la gestión del DNI electrónico 3.0 y que ya mencioné en este blog.

Servicio de custodia digital “Cartulario”


Cartulario es una plataforma multiusuario, desarrollada en modo SaaS y disponible en modalidad “Cloud Computing” o “Nube TIC“, que permite una rápida puesta en marcha de las soluciones de Confianza Digital.

De esta forma, garantiza la seguridad de los intercambios, la confianza del archivo y la gestión de la prueba jurídica.

Las tecnologías que ofrece Cartulario permiten el concepto de Prueba Digital y garantizan la seguridad en el Intercambio y el Archivo.

Entre ellas están:

  • Autenticación,
  • Cifrado,
  • Registro,
  • Trazabilidad,
  • Control de la integridad,
  • Sellado de tiempo (interno y por un tercero de confianza).
  • Metadatos de original electrónico (Completitud, Obliterabilidad, Endosabilidad)

Diferentes niveles de administración, que permiten ofrecer estas funcionalidades a las empresas, a las administraciones públicas o al público general, de forma flexible y escalable.

Cuenta con un webservice para el depósito de documentos y administra diferentes mecanismos de gestión de CSV (Código Seguro de Verificación).

Contacte con EADTrust en el 91 716 0555 para ampliar información.

Trust related services in the Cloud: Timestamping


timestampAt this moment, EADTrust is first and only Certification Service Provider that can provide a very high quality timestamping  service based in a Cloud Infraestructure which is designed to grow as demand does.

I have previously mentioned EADTrust in other article.

EADTrust can now deploy “cloudified” timestamping services in Microsoft Azure and in Amazon Elastic Compute Cloud (Amazon EC2).

The ElasTIC Timestamping service is a high quality, high SLA, high volume service designed for professional aplications in eGovernement, eBanking and eInsurance environments.

It is being used by the most demanding systems using handwritten digitized adavanced electronic signature: Citi Bank, Bankinter, …

Alternatively, in some applications there is the option to contract “BET” Service (Best Effort Timestamping). A low cost service, which compete with generic timestamping services, with lower SLA as offered by other Certification Service Providers (CSP).

Contact with EADTrust, to know nore regarding the timestamping  service at +34 91 7150555

Firma electrónica en zEnterprise EC12


Recientemente IBM ha lanzado el nuevo sistema “mainframe” zEnterprise EC12, con clara orientacion hacia entornos de private cloud, con disponibilidad de muchísima potencia de cómputo en entornos de múltiples tipos de procesadores, sistemas operativos y cargas de trabajo.

El zEnterprise EC12 ofrece nuevos niveles de rendimiento y capacidad para consolidación de múltiples sistemas  y crecimiento a gran escala, compatibilidad con la nueva generación de equipamiento de  seguridad para firma digital, el nuevo HSM (Hardware Security Module) Crypto Express 4S, análisis avanzado de reconocimiento de patrones para el control inteligente de la funcionalidad de los componentes del sistema, nueva opción para instalaciones en  suelo no técnico y despliegue de tecnologías híbridas de procesamiento para diferentes sistemas operativos y todo tipo de cargas de trabajo distribuidas, incluyendo las específicas de mainframe (z/OS , z/VM , z/VSE , z/TPF, y Linux on System z).

En el Mainframe se equipa la cabina de entrada salida compatible con interfaz PCIe Gen2 (Peripheral Component Interconnect Express Generation 2) al que se conecta cada adaptador Crypto Express4S que da soporte a todas las funciones del modelo de adaptador criptográfico anterior Crypto Express3.

Este adaptador se puede configurar a través de la consola HMC (Hardware Management Console) de tres formas distintas:

  1. Como coprocesador CCA: IBM Common Cryptographic Architecture (CCA) coprocessor
  2. Como coprocesador PKCS#11: IBM Enterprise PKCS #11 (EP11) coprocessor
  3. Como Acelerador (Accelerator)

El adaptador se ha certificado de acuerdo con los estándares  FIPS 140-2 Security Level 4 y Common Criteria EAL 4+.

A través de CPACF (Central Processor Assist for Cryptographic Function) función que no implica coste al habilitarla en el sistema, puede gestionar los siguientes algoritmos criptográficos:

  • Algoritmos de hash (Secure hash algorithms) SHA-1, SHA-224, SHA-256, SHA-384, y SHA-512 habilitado en todos los servidores con unidades de proceso  (PUs – processor units) definidas como  CPs, IFLs, zIIPs, or zAAPs.
  • Cifrado Simétrico
    • Data Encryption Standard (DES)
    • Triple Data Encryption Standard (TDES)
    • Advanced Encryption Standard (AES) con claves de 128-bits, 192-bits, y 256-bits
  • Control de Integridad (Secure Hash Algorithms)
    • SHA-1: 160 bit
    • SHA-2: 224, 256, 384, and 512 bit
  • Control de Integridad (MAC)
    • Single-length key MAC
    • Double-length key MAC

El soporte  IBM Enterprise PKCS #11 (EP11) IBM Enterprise Public-Key Cryptography Standards (PKCS) #11 está basado en la especificatión v2.20 de PKCS #11 y se incluye enlos sistemas operativos  z/OS y z/VM medianteICSF (Integrated Cryptographic Service Facility).

El soporte criptográfico es de especial interés en banca, ya que permite, por ejemplo gestionar las funciones de seguridad de las tarjetas EMV, o cifrar la información relevante sobre tarjetas y titulares que exige el cumplimiento de la normativa PCI DSS.

Gracias al soporte PKCS#11 permite utilizar el sistema de firmas electrónicas zBackTrust de Albalia (con soporte para CAdES, XAdES y PAdES) en z/OS además de en Linux on System z.

La solución zBackTrust es la única disponible a nivel mundial con soporte nativo para mainframe en equipos z9, z10 z196, z114 y  zEC12 y capacidad de gestionar las citadas formas de firma, aunque IBM ofrece un tipo de unidad integrable en los bastidores zEnterprise que también permite realizar la funconalidad de firma electrónica con sus propias funciones criptográficas externalizadas del sistema principal (Datapower).

El sistema zBackTrust de Albalia se puede instalar sobre entornos de gestión de transacción para Java como WebSphere , Weblogic y Tomcat y soporta de forma nativa las diferentes funcionalidades de la norma DSS   (Digital Signature Services) de OASIS, de modo que la gestión de la firma electrónica se puede llevar a cabo de forma centralizada para toda la organización mediante webservices que se pueden invocar desde entornos Linux, Apple y Windows.

El sistema zBackTrust está disponible bajo diferentes tipos de licencias:

  • System
  • Site
  • Enterprise
  • Cloud

lo que permite que se pueda disponer de múltiples instancias de ejecución sin coste adicional.

El sistema zBackTrust puede contratarse a través de IBM, a través de INSA o directamente a través de Albalia, contactando con el 91 716 0555 de España (+34 917160555).

Otros artículos relacionados:

Burofax electrónico por e-mail


Frecuentemente se habla de “Burofax online” o “Burofax electrónico” al querer hacer referencia a un sistema de comunicación fehaciente por via electrónica, gracias a que el servicio Burofax de correos (de entrega en domicilio) se ha consolidado como uno de los pocos servicios del mundo físico que certifican el contenido de una comunicación, y a que la penetracion del mundo de internet hace presumir que existen servicios equivalentes en el mundo “on-line“.

EADTrust, prestador de servicios de certficación del que soy socio inversor, está impulsando un servicio alternativo denominado Noticeman (Notice Manager) que aporta la prueba (o evidencia electrónica) de la recepción y la certificación del contenido a los mensajes enviados a direcciones de correo electrónico.

En general, una comunicación fehaciente es aquella de la cual es posible demostrar en todo momento que se ha llevado a cabo, así como cual ha sido su contenido, por haber utilizado  un medio que pemita demostrarlo. Existen diversas posibilidades de conseguir este efecto como por ejemplo la realizda por conducto notarial.

Por supuesto, si se desea que el mensaje se entregue en una dirección física, están disponibles los clásicos servicios de Correos: el  Telegrama y el Burofax, que permiten certificar la entrega y el contenido (asumiendo costes adicionales). Y a día de hoy es posible usar estos servicios sin desplazarse a la oficina de correos, a través de su página web. También existen servicios alternativos de prestadores diferentes a Correos, ya que el servicio Burofax no está incluido entre los básicos del Prestador del Servicio Postal Universal.

Contra lo que fecuentemente  se supone, no es una comunicación fehaciente el envío de una carta certificada con acuse de recibo, ya que el acuse de recibo sólo acredita la recepción, y el certificado sólo acredita el hecho de que se ha realizado un envío, pero ni uno ni otro sirven para demostrar cuál es el contenido de la comunicación.

Sin embargo, las comunicaciones fehacientes verdaderamente “on-line” son aquellas que se entregan en la dirección “on-line” del destinatario, como por ejemplo su dirección de correo electrónico.

En este contexto destaca Noticeman, sistema de comunicación fehaciente desplegado por EADTrust, prestador de servicios de certificación que actúa como “tercero de confianza”. Se trata de una notificación certificada sobre la que se puede demostrar el intento de notificación, la recepción por el destinatario, el contenido, y, de existir, la reacción del destinatario (por ejemplo, en caso de contratos, su aceptación).

Y por tan solo 3,5 euros (o menos, si se adquieren paquetes de notificaciones). Mucho más económico que el equivalente en papel.