Archivo de la categoría: #eIdaS

Aceleradores criptográficos en mainframe IBM


A lo largo de los años, IBM ha ido añadiendo nuevos equipos criptográficos (HSM) a la oferta disponible para sus entornos mainframe.

Ya he presentado algunos en este blog en artículos anteriores:

En este artículo simplemente resume las variantes disponibles en este momento.

Existe información sobre cómo agregar y eliminar coprocesadores criptográficos en el documento  z / OS Cryptographic Services ICSF Administrator’s Guide.

Dispositivo  Crypto Express5 (CEX5C, CEX5P o CEX5A)
Se trata de un coprocesador o acelerador criptográfico asíncrono, cuyo motor criptográfico  puede configurarse como un coprocesador (CEX5C para CCA y CEX5P para PKCS #11) o como acelerador (CEX5A). Está disponible en los sistemas IBM z13.

Dispositivo Crypto Express4 (CEX4C, CEX4P o CEX4A)
El Crypto Express4 es un coprocesador o acelerador criptográfico asíncrono que se puede configurar como un coprocesador CCA (CEX4C), un coprocesador Enterprise PKCS #11 (CEX4P) o como un acelerador (CEX4A). Está disponible en los sistemas IBM zEnterprise EC12 e IBM zEnterprise BC12.

Dispositivo Crypto Express3 (CEX3C o CEX3A)
La placa criptográfica Crypto Express3 es un coprocesador o acelerador criptográfico asíncrono que contiene dos motores criptográficos que se pueden configurar independientemente como  coprocesador (CEX3C) o como acelerador (CEX3A). Está disponible en los sistemas  IBM System z10 Enterprise Class, IBM System z10 Business Class, IBM zEnterprise 196, IBM zEnterprise 114, IBM zEnterprise EC12 y IBM zEnterprise BC12.

Dispositivo Crypto Express2 (CEX2C o CEX2A)
La placa Crypto Express2 es un coprocesador o acelerador criptográfico asíncrono con dos motores criptográficos que se pueden configurar de forma independiente como coprocesador (CEX2C) o como acelerador (CEX2A). Está disponible en IBM System z9 Enterprise Class, IBM System z9 Business Class, IBM System z10 Enterprise Class e IBM System z10 Business Class.

Coprocesador criptográfico PCI X (PCIXCC)
El coprocesador criptográfico PCI X es un coprocesador criptográfico asíncrono que puede sustituir al coprocesador criptográfico PCI. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

CP Assist para funciones criptográficas (CPACF)
CPACF es un conjunto de instrucciones criptográficas disponibles en todos los CP. El uso de las instrucciones de CPACF mejora el rendimiento de las funciones criptográficas. Incorpora siempre el algoritmo SHA-1 en algunos sistemas añade los algoritmos SHA-224 y SHA-256 (en los sistemas z9 EC / z9 BC y posteriores). Además, los algoritmos SHA-384 y SHA-512 están disponibles en z10 EC / z10 BC y sistemas posteriores.

CP Assist for Cryptographic Functions (CPACF), con código de producto 3863 para habilitar la funcionalidad  DES / TDES, proporciona instrucciones de cifrado DES y Triple DES de clave en claros. En los sistemas z9 EC / z9 BC y posteriores, esta característica incluye el cifrado AES con clave en claro para claves de 128 bits. En los sistemas z10 EC / z10 BC y posteriores, esta característica también incluye el cifrado AES con clave en claro para claves de 192 y 256 bits.

Acelerador criptográfico PCI (PCICA)
El Acelerador criptográfico PCI brinda soporte para claves en claro en la invocación de los servicios  CSNDDSV, CSNDPKD y CSNDPKE para un mejor rendimiento que cuando se ejecuta en un coprocesador criptográfico. Solo está disponible en IBM eServer zSeries 990 o IBM eServer zSeries 890.

Las PCICA permiten el máximo rendimiento en el cifrado de SSL usado en entornos web.

Trust Services Forum 2017


ENISA and the European Commission are organising a consultation workshop with industry and experts from Member States on ICT security certification.

  • Time: April 27, 2017 from 09:30 to 17:00
  • Place: Hotel Thon EU, Rue de la Loi 75, B-1040 Brussels, Belgium

The workshop is organised as a follow-up on the European Commission’s commitment to develop a proposal for a European ICT security certification framework.

Trust Services Forum 2017 – Agenda

09:45 – 10:15

Registration & Welcome Coffee

10:15 – 11:30

Welcome Statement

State of play: eIDAS Regulation, CEF, ENISA activities

Gábor Bartha – European Commission

João Rodrigues Frade – European Commission

Sławomir Górniak – ENISA

11:30 – 11:45

Coffee Break

11:45 – 12:45

Panel Discussion 1

One year after eIDAS provisions entered into force

Where do we stand?

Moderator:

Prokopios Drogkaris, ENISA

Panelists:

John Jolliffe, Adobe

Olivier Delos, SEALED

Romain Santini, ANSSI

Michał Tabor, Obserwatorium.biz

12:45 – 13:45

Lunch Break

13:45 – 14:00

Article 19 – State of play

Ilias Bakatsis, ENISA

14:00 – 15:00

Panel Discussion 2

Working on the eIDAS through guidelines and recommendations

Moderator:

Sławomir Górniak, ENISA

Panelists:

Camille Gerbert – LSTI

Björn Hesthamar – PTS SE

Leslie Romeo – 1&1

Jérôme Bordier – ClubPSCo

15:00 – 15:30

Coffee Break

15:30 – 16:30

Panel Discussion 3

Strengthening the adoption of qualified certificates for website authentication

Moderator:

Eugenia Nikolouzou – ENISA

Panelists:

Reinhard Posch – TU Graz

Arno Fiedler – Nimbus

Kim Nguyen – D-Trust

Erik Van Zuuren – TrustCore

16:30 – 17:00

Next Steps – Open Discussion – Closing Remarks

 

CA Compliance Info-Day (CA day 2017) eIDAS and Web-PKI


On monday June, the 19th of 2017 D-TRUST and TÜVIT organize the 8th CA day in Berlin, Bundesdruckerei GmbH, Historic Conference Center.

Kim Nguyen, Andrea Servida, Arno Fiedler, Clemens Wanko, Sylvi Lacroix, Slawomir Gorniak, Andrea Vale and Dean Coclin will present  recent advances in eIDAS deployment:

  • eIDAS Regulation: State of play
  • Implementing eIDAS with CEN and ETSI Norms
  • The European Audit Framework
  • eIDAS Services in Realitas
  • Update on ENISA activities in the field of eIDAS
  • Adobe and the Cloud Signature Alliance
  • News from the CA/Browser Forum
  • Browser/Rootstore Program requirements
  • Panel discussion: eIDAS: Who are the “Trust Service Consumer” ?

Audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza


confianza-ue-colorEl Ministerio de Energía, Turismo y Agenda Digital ha publicado en su página web una nueva información relativa a la evolución normativa de aplicación a los servicios de confianza digital.

En el mes de diciembre de 2016 el MINETAD solicitó sugerencias respecto a los aspectos que debería cubrir la nueva Ley que sustituirá a la de Firma Electrónica y en esta fase continúa la tramitación de la nueva Ley sobre determinados aspectos de los servicios electrónicos de confianza.

La actual Ley 59/2003, de firma electrónica, entra en conflicto en varios aspectos con el Reglamento UE 910/2014  (EIDAS) por lo que se hace preciso adaptar el ordenamiento jurídico español a lo dispuesto en el citado Reglamento

El Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE es de directa aplicación en todos los países miembro de la unión europea y las legislaciones nacionales solo debe regular aspectos que no estén incluidos en el Reglamento.

En este sentido, y de acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, el MINETAD ha invitado a los diferentes  “stakeholders” para que participen en la audiencia pública que puede encontrar en el siguiente enlace:

http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/Cerradas/servicios-electronicos-confianza.aspx

(era http://www.minetad.gob.es/telecomunicaciones/es-ES/Participacion/Paginas/servicios-electronicos-confianza.aspx)

El conjunto de las aportaciones permitirá contribuir a garantizar el acierto de la nueva norma, por lo que se anima a todo los interesados  participar en esta audiencia pública remitiendo al buzón lfe@minetad.es cuantas observaciones estimen oportunas al texto del anteproyecto de ley.

De acuerdo con el artículo 26.6 de la Ley 50/1997, de 27 de noviembre, del gobierno, se sustancia la audiencia pública del anteproyecto de Ley reguladora de determinados aspectos de los servicios electrónicos de confianza. Esta ley complementa en el Ordenamiento jurídico español al Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

Plazo de remisión

Las observaciones podrán remitirse hasta el 30 de abril de 2017

Forma de presentar las observaciones

Las observaciones deberán cursarse a la dirección de correo electrónico: lfe@minetad.es

Anexos

Final Draft Regulatory Technical Standards y #eIdAS


El artículo 25 del proyecto de norma técnica reguladora publicado por la EBA en cumplimiento del mandato de la Comisión Europea de desarrollo de la PSD2 (Segunda Directiva de Pagos) se refiere a los requisitos de identificación y el 29 al mecanismo específico de los certificados.

En este último artículo queda patente la importancia de los servicios de confianza definidos por el EIDAS (Reglamento UE 910/2014).

  1. Para el propósito de identificación, a que se refiere el artículo 21, apartado 1, letra a), los proveedores de servicios de pago  confiarán en certificados cualificados para generación de sellos electrónicos tal como se definen en el apartado 30 del artículo 3 del Reglamento (UE) n ° 910/2014 4 o en los certificados de autenticación de sitio webpara según se definen en el en el apartado 39 del artículo 3 de dicho Reglamento.
  2. A los efectos del presente Reglamento, el número de registro contemplado en la letra C del anexo III del Reglamento (UE) no 910/2014 se referirá al número de autorización correspondiente a los proveedores de servicios de pago que emiten instrumentos de pago basados en tarjetas (payment service provider issuing card-based payment instruments),  a los proveedores de servicios de información de cuenta (account information service provider) y a los proveedores de servicios de iniciación de pagos (payment initiation service provider), así como los prestadores de servicios
    de pagos de gestión de cuenta (account servicing payment service provider) que proporcionen dichos servicios, según consten  en el registro público del Estado miembro de origen del prestador, de conformidad con el artículo 14 de la Directiva (UE) 2015/2366 o según resulte de la notificación de cada autorización concedida al amparo del artículo 8 de la Directiva 2013/36 / EU de conformidad con el artículo 20 de dicha Directiva.
  3. A efectos del presente Reglamento, los certificados cualificados para generación de sellos electrónico  o para la autenticación del sitio web a que se refiere el párrafo 1 del presente artículo, deberán incluir varias menciones en lengua inglesa para reflejar los siguientes atributos específicos adicionales:
    (a) el papel del prestador de servicios de pago, que podrá ser uno o más  uno o más de los siguientes:  “account servicing payment service provider”; “payment initiation service provider”;  “account information service provider”;  “payment service provider issuing card-based payment instruments”, respectivamente “proveedor de servicios de pago de gestión de cuenta”, “proveedor de servicios de iniciación de pago”, “proveedor de servicio de información de cuenta” y “proveedor de servicios de pago que emite instrumentos de pago basados en tarjetas”.
    (b) la denominación de las autoridades competentes en las que el prestador de servicios está registrado.
    4. Los atributos mencionados en el apartado 3 no afectarán a la interoperabilidad y
    reconocimiento de certificados calificados para sellos electrónicos o autenticación de sitios web.

En el marco de #eIdAS es de aplicación el estándar EN 319 412 en sus partes 1, 3 y 4 (EN 319 412-1, EN 319 412-3 y EN 319 412-4) por lo que la mención del registro de entidades financieras correspondería a las siglas BA (Banking Authority).

eadt-logoPor ejemplo, el “serial number” del certificado cualificado del BBVA a los efectos de la autenticación como “Prestador de servicios de gestión de cuentas” en el marco de la segunda directiva de pagos (PSD2) debería identificarse con el valor  BA:ES0182

EADTrust ya está en condiciones de emitir certficados cualificados para prestadores de servicios amparados por la PSD2 y alineados con la versión publicada a finales de febrero de 2017 de los “Regulatory Technical Standards” de la European Banking Association.

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards


La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) “Regulatory Technical Standards“, en particular sobre los aspectos de “strong customer authentication” y “secure communication”

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la “autenticación fuerte del cliente” que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o “realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos”.

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una “interfaz dedicada”, que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que “el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una “interfaz dedicada” implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

 

 

“Simetría probatoria” y “Soporte duradero” en las firmas electrónicas


Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de “tercero de confianza” escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de “tercero de confianza” y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de “tercero de confianza” no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de “tercero de confianza” se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa “muletilla” para que se les reconozca su labor, De esta forma la entidad que dice ser un “tercero de confianza” pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de “Simetría probatoria” y “Soporte duradero” son preferibles.

La “simetría probatoria” implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El “Soporte duradero” debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.