Archivo de la categoría: Firma Electrónica

Manufirmatio


Al tratar la firma electrónica con espíritu enciclopédico, es inevitable referirse a diferentes etapas históricas en las que los usos y costumbres eran otras, pero en las que se sentaron las bases de la evolución de la firma.

Una de las referencias puede ser la que, en el Fuero Juzgo, trataba sobre la forma de comprobar las firmas o signos en caso de controversia.

Otra, sin duda, el concepto de Manufirmatio con el que en la Antigua Roma se dotaba de solemnidad la vinculación del firmante con lo firmado, simbolizando la autenticidad del documento y de su voluntad de suscribirlo.

El Manufirmatio era una ceremonia en la que un documento se extendía sobre la mesa del escribano y el autor intelectual lo leía en presencia de otras personas. Tras la lectura, el autor pasaba la mano abierta sobre el documento a modo de juramento, aceptación o reconocimiento de su contenido y se le estampaba nombre, signo, y una o tres cruces por el autor, notarius y escribano. A continuación testigos presenciales hacían lo mismo.

 

¿Cual es el marco legal de la Digitalización certificada?


Inicialmente la Digitalización Certificada se refería al proceso que permite realizar  copias digitales de facturas en papel preservando el valor equivalente al original.

La norma que la define es la Orden EHA/962/2007:

En la actualidad, además de estar regulada la Digitalización Certificada de interés tributario, también existe normativa para la digitalización de documentos en las administraciones públicas y para para la digitalización de documentos susceptibles de ser remitidos por Lexnet y utilizables en la administración de justicia.

Un video de 9 minutos que explica lo esencial de la Digitalización Certificada (incluso los requisitos de auditoría) se incluye a continuación.

 

 

Nueva lista de CABs (Conformity Assessment Bodies) en Europa


A finales de julio de 2018 se publicó la penúltima versión de la lista de Organismos de Evaluación de Conformidad (OEC) #EIDAS en Europa.

Estos días se ha publicado la última, que incluye un nuevo CAB (Conformity Assessment Body) en Holanda (Ernst & Young CertifyPoint B.V.).

El resumen actual es el siguiente:

En Europa existen 26 CABS  (Conformity Assessment Bodies) que se distribuyen en varios países:

  • Italia 7,
  • Alemania 4,
  • España 4
  • República Checa  3,
  • Francia 2
  • Eslovaquia  2

y hay 1 CAB en Austria, Holanda Portugal y Reino Unido.

Hay varios países en los que no hay ninguno: Bélgica, Bulgaria, Chipre, Croacia, Dinamarca, Eslovenia, Estonia, Finlandia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Malta, Rumanía y  Suecia.

Las CABS son los siguientes:

Alemania (4):

  • datenschutz cert GmbH
  • T-Systems International GmbH
  • TÜV Informationstechnik GmbH
  • KPMG (Liechtenstein) AG (LI)

Austria (1):

  • Zentrum für sichere Informationstechnologie – Austria (A-SIT)

Francia (2):

  • LSTI
  • INTERNATIONAL CERTIFICATION TRUST SERVICES (ICTS)

Eslovaquia (2):

  • QSCert, spol. s r.o
  • TÜV SÜD Slovakia s.r.o

España (4):

  • AENOR INTERNACIONAL, S.A. (Unipersonal)
  • EPOCHE AND ESPRI, S.L. (Unipersonal)
  • CERTICAR, S.L.
  • TRUST CONFORMITY ASSESSMENT BODY, S.L.

Italia (7):

  • BUREAU VERITAS Italia S.p.A.
  • CSQA Certificazioni srl
  • IMQ S.p.A.
  • DNV GL Business Assurance Italia S.r.l.
  • CERTIQUALITY S.r.l.
  • QMSCERT Ltd
  • KIWA CERMET Italia S.p.A.

Países Bajos (Holanda) (1):

  • Ernst & Young CertifyPoint B.V.

Portugal (1):

  • Associação Portuguesa de Certificação (APCER)

Reino Unido (1):

  • BSI Assurance UK Ltd

República Checa (3):

  • Elektrotechnický zkušební ústav (Electrical Testing Institute)
  • TAYLLORCOX s.r.o. (previously Tayllor & Cox s.r.o.)
  • LL-C (Certification) Czech Republic s.r.o.

Auditorias para entidades financieras en el marco de la PSD2


PSD2-FintechEl despliegue de nuevos sistemas financieros digitales amparados por la normativa PSD2 (Segunda Directiva de Pagos) deberá cumplir lo indicado en el Reglamento Delegado (UE) 2018/389 de la Comisión, de 27 de noviembre de 2017, por el que se complementa la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo en lo relativo a las normas técnicas de regulación para la autenticación reforzada de clientes y unos estándares de comunicación abiertos comunes y seguros.

Su Artículo 3 establece:

Revisión de las medidas de seguridad

1. La aplicación de las medidas de seguridad a que se refiere el artículo 1 deberá documentarse, probarse periódicamente, evaluarse y auditarse de conformidad con el marco jurídico aplicable al proveedor de servicios de pago por auditores con experiencia en el ámbito de la seguridad y los pagos informáticos y funcionalmente independientes, ya pertenezcan al organigrama del propio proveedor de servicios de pago o sean externos a él.

2. El período entre las auditorías a que se refiere el apartado 1 se determinará teniendo en cuenta el correspondiente marco aplicable al proveedor de servicios de pago en materia de contabilidad y de auditoría legal.

No obstante, los proveedores de servicios de pago que se acojan a la exención a que se refiere el artículo 18 estarán sujetos, como mínimo con una periodicidad anual, a una auditoría de la metodología, el modelo y los índices de fraude notificados. El auditor que lleve a cabo dicha auditoría poseerá conocimientos técnicos en el ámbito de la seguridad y los pagos informáticos y será funcionalmente independiente, ya pertenezca al organigrama del propio proveedor de servicios de pago o sea externo a él. Durante el primer año de uso de la exención prevista en el artículo 18 y al menos cada tres años en lo sucesivo, o con mayor frecuencia si así lo solicita la autoridad competente, esta auditoría será llevada a cabo por un auditor externo cualificado e independiente.

tcab-logo-trust-conformity-assessment-body-bigTCAB es una entidad evaluadora de conformidad (en inglés, CAB, Conformity Assessment Body) que audita Prestadores de Servicios Electrónicos de Confianza en el marco del EIDAS y que cuenta con los profesionales adecuados especialistas en medios de pago idóneos para esa tarea. Contacte con TCAB (Trust Conformity Assessment Body) llamando al 91 388 0789

Formación y certificación de auditores #EIDAS


TCAB (Trust Conformity Assessment Body) está preparando un evento formativo que tendrá lugar probablemente en Febrero de 2019 y que está destinado a especialistas del mundo de la firma electrónica y de los servicios de confianza.

Se estructura en tres niveles:

  1. Usuarios avanzados de servicios de confianza digital (1 día)
  2. Prestador de servicios de confianza digital (2 días)
  3. Auditor de servicios de confianza digital  (2 días)

Tras la formación completa se puede optar a realizar un examen que dará acceso a la certificación profesional de Auditor EIDAS y posteriormente a la realización de auditorias como auditor junior, en el marco de las evaluaciones de conformidad desarrolladas por TCAB.

El temario tentativo es el siguiente:

Nivel 1. Formación para desarrolladores, empresas de servicios y para empleados del sector Público.

Proporciona una introducción a los sistemas de identificación y firma electrónica.

Se tratan los siguientes temas:

  • Conceptos de identificación electrónica
  • Breve historia de la criptografía
  • Algoritmos de Hash
  • Criptografía de clave simétrica y criptografía de clave asimétrica
  • Elementos de las Infraestructuras de clave pública. RA, OCSP, CA, Root, Entidad final, CRL, Timestamping, custodia digital. Listas de confianza
  • Estructura de los certificados. Normas X.509, X.520
  • SSL TSL. OCSP Stapling
  • Autenticación mediante certificados
  • Firma electrónica. Tipos de firma electrónica
  • Certificados cualificados
  • Dispositivos cualificados de Creación de Firma
  • Drivers de dispositivos. Estándares MS-CAPI y PKCS#11
  • Normativa de firma electrónica. Reglamento EIDAS
  • Firma electrónica en las administraciones públicas y en el ámbito de la Justicia. Consideraciones sobre la Ley 39/2015 y la Ley 18/2011.
  • Firmas avanzadas especiales. Firma biométrica
  • Configuración de servidores para SSL. Como solicitar certificados

Nivel 2. Formación para profesionales de Prestadores de Servicios de Confianza

Se describen los sistemas utilizados por los PSCD, los documentos a elaborar y las medidas de seguridad en el ámbito de los Prestadores de Servicios de Confianza Digital y la forma de prepararse para una auditoría EIDAS

Se tratan los siguientes temas:

  • Normativa relacionada con la gestión de identidades. Reglamento 1501/2015 y Reglamento 1502/2015
  • Normativa general para Prestadores: EN 319 401:
    • Evaluación de riesgos,
    • Políticas y prácticas: Declaración de práctica de servicio de confianza, Términos y condiciones, Política de seguridad de la información,
    • Gestión y operación de Prestadores de Servicios Electrónicos de confianza: Organización interna (Confiabilidad de la organización, Segregación de funciones), Recursos humanos, Gestión de activos (Requisitos generales, Manejo de medios), Control de accesos, Controles criptográficos , Seguridad física y ambiental, Seguridad de las operaciones, Seguridad de la red, Gestión de incidentes, Recogida de información probatoria, Gestión de la continuidad del negocio, Terminación de las actividades de Prestadores de Servicios Electrónicos de confianza y planes terminación de actividades, Cumplimiento legal.
  • OID. Como solicitar OID. Como diseñar una estructura organizada de OID para facilitar la gestión de políticas de firma
  • Perfiles de certificados. Identificación de políticas. OID necesarios según CAB Forum, OID necesarios según las normas ETSIT. Normas EN 319 412. Certificados PSD2
  • Documentación necesaria que se comprobará para expedir certificados de persona física, certificados de persona física representante de persona jurídica, certificados de persona física empleado público, certificados de persona jurídica.
  • Herramientas de parseo y de comprobación de la calidad de certificados.
  • Certificate transparency. Repositorios e integración
  • Normativa relativa a la expedición de certificados: EN 319 411-1. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza
  • Normativa relativa a la expedición de certificados cualificados en el marco de EIDAS: EN 319 411-2. Recorrido detallado del contenido de una Declaración de Prácticas de Servicios de Confianza. Certificados EIDAS: QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w.
  • Normativa relativa a la expedición de sellos de tiempo cualificados en el marco de EIDAS: EN 319 421 y EN 319 422
  • Normativa relativa a la prestación de servicios cualificados de notificaciones electrónicas y correo electrónico certificado cualificado (Servicio cualificado de entrega electrónica certificada) en el marco de EIDAS: EN 319 521 y EN 319 531
  • Servicio cualificado de validación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 119 101 y EN 319 102-1
  • Servicio cualificado de conservación de firmas electrónicas cualificadas y sellos electrónicos cualificados en el marco de EIDAS: TS 102 573 y EN 319 102-1
  • Seguro de Responsabilidad civil. Responsabilidad contractual y extracontractual.
  • Dispositivos cualificados de creación de firma. Normas de aplicación para la evaluación de dispositivos: FIPS-140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170, EN 419 241-1, EN 419 241-2, EN 419 221-5.
  • Listas de dispositivos de creación de firma: NIST, Common Criteria Portal, Lista del artículo 31 (Compilation of Member States notification on SSCDs and QSCDs). Procedimientos especiales del art. 30-2-b. Vigencia de dispositivos anteriores al EIDAS por art. 51.1
  • Aspectos a tener en cuenta para la expedición de certificados de sitio web y firma de código ejecutable en contextos de CAB Forum: Baseline Requirements, Extended Validation (EV) Guidelines.
  • Criterios de verificación de identidad en las actividades de RA según el artículo 24-1-b y 24-1-d. Criterios de videoidentificación publicados por SEPBLAC en el marco de la Ley 10/2010.
  • Listas TSL (Trusted Lists). Norma TS 119 612. Información que se refleja en las listas. Comprobación de validez de certificados cualificados emitidos en fase válida de prestadores a los que se les ha retirado la cualificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS

Nivel 3. Formación para Auditores y evaluadores de conformidad de Servicios de Confianza

Se describe el marco de evaluación de la conformidad, los organismos de acreditación, los requisitos para los organismos de evaluación de conformidad y los requisitos para los auditores.

Los estudiantes que hayan asistido a la formación de los 3 niveles podrán presentarse a un examen de certificación profesional que los habilitará como auditores EIDAS en el Esquema de Trust Conformity Assessment Body. Los alumnos que superen el examen obtendrán un nivel de cualificación profesional para participar como auditores junior en auditorías de evaluación de conformidad y podrán optar a acompañar a auditores senior en auditorías de TCAB. Tras participar en 3 auditorías recibirán la cualificación de auditores senior.

En la formación el tercer nivel se utilizarán el inglés y el español como lenguas vehiculares a lo largo de las exposiciones.

Se tratan los siguientes temas:

  • Evolución del marco de evaluación de conformidad para servicios de confianza. Orden de 21 de febrero de 2000 por la que se aprueba el Reglamento de acreditación de prestadores de servicios de certificación y de certificación de determinados productos de firma electrónica.
  • Modelo de supervisión EIDAS. Lista de supervisores de los Estados miembros.
  • Modelo de acreditación EIDAS. Lista de organismos de acreditación de los Estados miembros.
  • Modelo de evaluación EIDAS. Lista de organismos de evaluación de los Estados miembros.
  • Requisitos aplicables a los CAB para lograr la acreditación. EN 319 403, ISO 17065, Criterios y proceso de acreditación específico para la certificación de servicios electrónicos de confianza regulados en el Reglamento (UE) nº 910/2014 (eIDAS) (Norma ENAC RDE-16)
  • Recomendaciones para planificar una auditoría: Fase de revisión documental, fase presencial, identificación de evidencias, pautas de información a reflejar en el informe de Evaluación (CAR, Conformity Assessment Report).
  • Procedimiento de evaluación. Revisión del informe, aprobación de la certificación.
  • Seguimiento de las entidades evaluadas. Ampliación de alcances de evaluación.
  • Requisitos generales para los auditores y condiciones previas para la acreditación. Principios éticos para los auditores. Criterios de independencia e imparcialidad.
  • Partes involucradas y pautas de interacción.
  • Curso típico de un proyecto de auditoría.
  • Recomendación para la acción y el enfoque durante las auditorías.
  • Requisitos y esquema de informes de evaluación.
  • Modelo de CAR para auditores
  • Condiciones para la Emisión de Certificado. Fases del proceso de certificación.
  • Reglas de uso del signo distintivo europeo de cualificación EIDAS, y de otras marcas asociadas a la evaluación, ENAC, CAB,…
  • Estructura general de aprobación de certificaciones. Organización de TCAB para la aprobación de certificaciones. Comité de partes interesadas.

Para más información llamar a TCAB al +34 91 3880789

¿Qué documentación hay que presentar en la solicitud de homologación de un software de digitalización certificada?


La solicitud de homologación de un software de digitalización certificada, debe constar de:

  • Declaración responsable del cumplimiento de los requisitos exigidos en la Orden EHA/962/2007.
  • Informe emitido por una entidad de auditoría informática independiente, con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada, en el que se exprese la opinión acerca del cumplimiento por parte de la entidad solicitante, de las condiciones establecidas en la Orden citada anteriormente. Normalmente en la linea de la declaración responsable.
  • Documentación del sistema que se pretende homologar. En particular:
    • Descripción de las normas técnicas en las que se basa el procedimiento de digitalización certificada, así como los protocolos o normas y procedimientos de seguridad, de control y de explotación referidos a la creación y consulta de la base de datos documental.
    • Plan de Gestión de Calidad respecto a los procedimientos en base a los que se debe realizar el proceso de digitalización y firma eletrónica, de modo que vincule a los usuarios del sistema en cuanto a la adopción de mejores prácticas.

La referencia legal de la digitalización certificada, es el artículo 7 de la Orden EHA/962/2007

En el proceso es esencial el manejo de firmas electrónicas y mecanismos de protección del sistema de llevanza del proceso (la base de datos).

Para más información, contacte con EADTrust, en el 917160555

 

Gestión de eTítulos universitarios mediante Blockchain


Se ha llevado a cabo en España un uso pionero de blockchain para la gestión inter-universitaria de títulos, desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona, asociadas a @Alastria Blockchain Ecosystem. Surge de un planteamiento de transformación digital desde el laboratorio universitario Blockchain & DLT Lab CEU.

Aunque la acreditación curricular de las titulaciones oficiales se basa en la posesión física de un documento en soporte cartáceo al que se le deben incorporar medidas de seguridad para evitar la falsificación, debido a los requisitos formales definidos en el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales, el desarrollo de la normativa orientada a la digitalización de las administraciones públicas abre otras opciones a la gestión de su autenticidad.

Los sistemas probatorios digitales como la firma electrónica o los códigos seguros de verificación facilitan la creación de documentos electrónicos con consideración de original, aunque se facilite su transcripción a documentos en soporte papel como medio de presentación en contextos desconectados.

En los sistemas de tipo blockchain se combinan habitualmente técnicas de firma electrónica junto con otras de preservación digital, lo que permite usarlos en contextos diferentes a la gestión de ciberdivisas.

Las entidades citadas han puesto en funcionamiento el primer sistema interuniversitario de gestión, acreditación y reconocimiento de titulaciones universitarias mediante la tecnología Blockchain, destinado a dar soporte a la autenticidad de los títulos por vía electrónica.

La posibilidad de falsificar títulos, los complejos procedimientos probatorios para demostrar la formación recibida en el acceso a Másteres oficiales y a Doctorado (tanto para los grados oficiales como para cualquier otra formación complementaria), los potenciales casos de fraude, y el creciente interés por los denominados Grados Abiertos, plantean retos para cuya resolución pueden utilizarse mecanismos digitales.

Entre ellos, cabe destacar las potenciales ventajas de las tecnologías DLT (Distributed Ledger Technologies) o RJT (Replicated Journal Technologies) entre las que se encuentra la conocida como blockchain.

Tras analizar los retos y las posibles soluciones, Ibermática y el Grupo de Universidades CEU, ambos miembros de ALASTRIA -la red nacional de Blockchain-, han trabajado en el desarrollo de un sistema sobre la plataforma chainTalent junto con el Blockchain & DLT Lab de la Universidad CEU San Pablo, dirigido por José Luis Roig y Ricardo Palomo.

Este innovador sistema de gestión de titulaciones permitirá que los estudiantes añadan, de forma complementaria a su acreditación formativa convencional, un registro distribuido que aporta verificabilidad inmediata y que se integra en su identidad digital, salvaguardando los requerimientos de la normativa de protección de datos.

La aplicación de este sistema de gestión universitaria es ampliable a muchos procesos administrativos de su entorno. Es destacable su potencial en el contexto del Espacio Europeo de Educación Superior y de la movilidad internacional de los estudiantes, por lo que esta primera aplicación supone un paso decisivo en el establecimiento de los criterios estandarizados para el intercambio de datos académicos, no sólo entre universidades, sino también con empresas e instituciones. El sistema, bajo el estándar openbadges, permite incluir también la acreditación de competencias y habilidades formativas, así como formación extracurricular o prácticas.

UNIA-eTitulo-BlockchainEn este sentido, tanto ALASTRIA como la Conferencia de Rectores Universitarios de España CRUE (igualmente miembro de ALASTRIA) han organizado en los meses anteriores diversos encuentros universitarios para avanzar en este campo.

Pablo Carretero, director de Estrategia Blockchain de Ibermática, considera que “el gran reto de chainTalent es convertirse en una plataforma para el tratamiento y gestión del talento de las personas, poner en valor la información curricular como un activo de gran importancia en el presente y futuro de las personas”. “En este camino por recorrer, es primordial para Ibermática la creación de un ecosistema, no sólo de instituciones académicas, sino también de cualquier compañía pública y privada que sume en la identidad de un individuo”, explica.

Ricardo Palomo es Catedrático de la Universidad CEU San Pablo, vicepresidente de la Fundación para la Innovación Financiera y la Economía Digital (FIFED) y miembro de la Comisión de Investigación y Transformación Tecnológica (ITT) de Alastria. A su juicio, “la certificación mediante blockchain supone la irrupción de una verdadera transformación digital del S. XXI en la gestión universitaria, que va más allá de su vertiente administrativa, pues aporta a los estudiantes la inmediatez y garantía de veracidad que demandan las empresas; y permite incluir no sólo calificaciones y títulos, sino también las competencias y capacidades que adquieren en su proceso de formación universitaria y postuniversitaria. Por otra parte, el paso de los estudiantes por la universidad es un buen momento para arrancar con el uso de su primera identidad digital sobre la que blockchain añadirá capas de valor y de utilidad”.

Con el nacimiento de chainTalent, los alumnos de CEU y de todas aquellas universidades que se unan a este ecosistema podrán participar en los procesos de selección de profesionales con la garantía de estar compartiendo su información curricular en un entorno fiable y transparente. Los usuarios de chainTalent podrán compartir sus titulaciones en otras redes sociales del ámbito profesional referenciando el link que la aplicación les proporciona para su validación. En este sentido, desde Ibermática y el CEU ya trabajan conjuntamente para conseguir la regulación y legitimidad de los títulos, tanto públicos como privados, en plataforma blockchain.