Archivo de la categoría: Firma Electrónica

CAB Forum summary of Insurance requirements for EV Trust Service Providers


Each CA SHALL maintain the following insurance related to their respective performance and obligations under these Guidelines:

(A) Commercial General Liability insurance (occurrence form) with policy limits of at least two million US dollars in coverage; and

(B) Professional Liability/Errors and Omissions insurance, with policy limits of at least five million US dollars in coverage, and including coverage for

(i) claims for damages arising out of an act, error, or omission, unintentional breach of contract, or neglect in issuing or maintaining EV Certificates, and

(ii) claims for damages arising out of infringement of the proprietary rights of any third party (excluding copyright, and trademark infringement), and invasion of privacy and advertising injury.

Such insurance MUST be with a company rated no less than A- as to Policy Holder’s Rating in the current edition of Best’s Insurance Guide (or with an association of companies each of the members of which are so rated).

A CA MAY self-insure for liabilities that arise from such party’s performance and obligations under these Guidelines provided that it has at least five hundred million US dollars in liquid assets based on audited financial statements in the past twelve months, and a quick ratio (ratio of liquid assets to current liabilities) of not less than 1.0.

Final Draft Regulatory Technical Standards y #eIdAS


El artículo 25 del proyecto de norma técnica reguladora publicado por la EBA en cumplimiento del mandato de la Comisión Europea de desarrollo de la PSD2 (Segunda Directiva de Pagos) se refiere a los requisitos de identificación y el 29 al mecanismo específico de los certificados.

En este último artículo queda patente la importancia de los servicios de confianza definidos por el EIDAS (Reglamento UE 910/2014).

  1. Para el propósito de identificación, a que se refiere el artículo 21, apartado 1, letra a), los proveedores de servicios de pago  confiarán en certificados cualificados para generación de sellos electrónicos tal como se definen en el apartado 30 del artículo 3 del Reglamento (UE) n ° 910/2014 4 o en los certificados de autenticación de sitio webpara según se definen en el en el apartado 39 del artículo 3 de dicho Reglamento.
  2. A los efectos del presente Reglamento, el número de registro contemplado en la letra C del anexo III del Reglamento (UE) no 910/2014 se referirá al número de autorización correspondiente a los proveedores de servicios de pago que emiten instrumentos de pago basados en tarjetas (payment service provider issuing card-based payment instruments),  a los proveedores de servicios de información de cuenta (account information service provider) y a los proveedores de servicios de iniciación de pagos (payment initiation service provider), así como los prestadores de servicios
    de pagos de gestión de cuenta (account servicing payment service provider) que proporcionen dichos servicios, según consten  en el registro público del Estado miembro de origen del prestador, de conformidad con el artículo 14 de la Directiva (UE) 2015/2366 o según resulte de la notificación de cada autorización concedida al amparo del artículo 8 de la Directiva 2013/36 / EU de conformidad con el artículo 20 de dicha Directiva.
  3. A efectos del presente Reglamento, los certificados cualificados para generación de sellos electrónico  o para la autenticación del sitio web a que se refiere el párrafo 1 del presente artículo, deberán incluir varias menciones en lengua inglesa para reflejar los siguientes atributos específicos adicionales:
    (a) el papel del prestador de servicios de pago, que podrá ser uno o más  uno o más de los siguientes:  “account servicing payment service provider”; “payment initiation service provider”;  “account information service provider”;  “payment service provider issuing card-based payment instruments”, respectivamente “proveedor de servicios de pago de gestión de cuenta”, “proveedor de servicios de iniciación de pago”, “proveedor de servicio de información de cuenta” y “proveedor de servicios de pago que emite instrumentos de pago basados en tarjetas”.
    (b) la denominación de las autoridades competentes en las que el prestador de servicios está registrado.
    4. Los atributos mencionados en el apartado 3 no afectarán a la interoperabilidad y
    reconocimiento de certificados calificados para sellos electrónicos o autenticación de sitios web.

En el marco de #eIdAS es de aplicación el estándar EN 319 412 en sus partes 1, 3 y 4 (EN 319 412-1, EN 319 412-3 y EN 319 412-4) por lo que la mención del registro de entidades financieras correspondería a las siglas BA (Banking Authority).

eadt-logoPor ejemplo, el “serial number” del certificado cualificado del BBVA a los efectos de la autenticación como “Prestador de servicios de gestión de cuentas” en el marco de la segunda directiva de pagos (PSD2) debería identificarse con el valor  BA:ES0182

EADTrust ya está en condiciones de emitir certficados cualificados para prestadores de servicios amparados por la PSD2 y alineados con la versión publicada a finales de febrero de 2017 de los “Regulatory Technical Standards” de la European Banking Association.

“Simetría probatoria” y “Soporte duradero” en las firmas electrónicas


Uno de los retos del mundo de las firmas electrónicas es que los documentos firmados electrónicamente puedan estar a disposición de los firmantes de forma permanente y que todos ellos puedan demostrar que las firmas electrónicas son válidas (o que no lo son).

A veces la complejidad del uso de los sistemas de firma electrónica puede hacer útil recurrir a una plataforma que gestione las firmas y que simplifique la operativa, sin merma de la validez jurídica.

Sin embargo, algunas entidades que ofertan plataformas orientadas a la contratación con firma electrónica se arrogan el rol de “tercero de confianza” escasamente definido en la normativa legal como un requisito para la validez de la recogida de las manifestaciones de voluntad por vía digital. La escasa preparación legal de sus interlocutores les permite afirmar con aplomo esa supuesta condición de “tercero de confianza” y con técnicas comerciales dudosas convencen, incluso, a departamentos jurídicos de grandes empresas.

Lo cierto es que no son necesarios los terceros de confianza en el sentido en el que los define el artículo 25 de la LSSI-CE. Y además quienes supuestamente ofrecen servicios de “tercero de confianza” no lo hacen en el sentido de la LSSI-CE

Artículo 25. Intervención de terceros de confianza.

1. Las partes podrán pactar que un tercero archive las declaraciones de voluntad que integran los contratos electrónicos y que consigne la fecha y la hora en que dichas comunicaciones han tenido lugar. La intervención de dichos terceros no podrá alterar ni sustituir las funciones que corresponde realizar a las personas facultadas con arreglo a Derecho para dar fe pública.

2. El tercero deberá archivar en soporte informático las declaraciones que hubieran tenido lugar por vía telemática entre las partes por el tiempo estipulado que, en ningún caso, será inferior a cinco años.

No solo no son necesarios los terceros de confianza, sino que pueden incluso ser sospechosos de ser afines a la parte que los contrata. Cuando se pone más énfasis en que sea un tercero quien dictamine sobre si se realizó o no una contratación, por ejemplo, en vez de dejar que las partes puedan tener la posibilidad de custodiar sus propia pruebas, se aplica un sesgo que se aparta de los usos y costumbres del comercio.

Además, el concepto ambiguo de “tercero de confianza” se asocia frecuentemente al de los notarios, que, en realidad no necesitan esa “muletilla” para que se les reconozca su labor, De esta forma la entidad que dice ser un “tercero de confianza” pretende ponerse al nivel de los notarios, cuando en realidad hay mucha diferencia entre sus roles.

En mi opinión los conceptos de “Simetría probatoria” y “Soporte duradero” son preferibles.

La “simetría probatoria” implica que ambas partes de un acuerdo bilateral o sinalagmático (aquel que genera obligaciones recíprocas para ambos contratantes desde su origen. como la compraventa, el arrendamiento, la permuta o el transporte) están en las mismas condiciones para demostrar su existencia, la validez de su firma y la de la firma de la contraparte

El “Soporte duradero” debe garantizar a las partes, al igual que el soporte papel, la posesión de la información o documentos  precontractuales o contractuales firmados  para que, en caso necesario, pueda ejercitar los derechos que dependan de la disponibilidad de los documentos, incluyendo los aspectos relativos a las evidencias electrónicas.

Firma manuscrita digitalizada avanzada en las administraciones públicas


La digitalización de los administraciones públicas ha pasado a ser obligatoria con la aprobación de la Ley 39/2015 del procedimiento administrativo común y las administraciones públicas, estatales, autonómicas y locales deben dotarse de las herramientas necesarias para atender a los ciudadanos de una manera rápida, eficaz y segura.

La aplicación de la citada Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas obliga a los entes públicos a evolucionar hacia la administración sin papeles de forma que las solicitudes y trámites puedan realizarse en formato electrónico. La administración íntegramente electrónica mejorará en eficacia y en eficiencia la gestión pública, dotará de mayor celeridad a los trámites y permitirá ahorrar costes a la administración y al administrado.

No obstante, digitalizar los procesos es una tarea costosa que requiere soluciones tecnológicas adecuadas.

La administración pública debe comprometerse a disponer de métodos digitales legalmente válidos y sencillos de usar, especialmente para los ciudadanos, para poder formular solicitudes, presentar declaraciones responsables o comunicaciones, interponer recursos, desistir de acciones o renunciar a derechos.

Los organismos públicos deben garantizar que los ciudadanos (incluyendo los representantes de las empresas)  puedan relacionarse con ellos a través de los medios electrónicos poniendo a disposición canales de acceso, sistemas y aplicaciones seguras.

Dos aspectos claves de esta relación son la acreditación de la identidad (según lo define el artículo 9) y la firma electrónica  (según lo define el artículo 10). Es importante señalar que muchos procedimientos requieren identificación  y otros requieren firma (cuando verdaderamente sea necesario prestar consentimiento).

Aunque la norma se orienta hacia la firma electrónica basada en certificados, deja margen para gestionar firmas avanzadas, no basadas en certificados, como sucede con el caso de la gestión de firmas manuscritas digitalizadas.

A la hora de implantar un sistema de firma manuscrita digitalizada en un organismo hay que tener en cuenta las garantías que se ofrecen por parte del sistema sobre seguridad técnica y jurídica. Es importante garantizar que durante el proceso de firma y de custodia del documento firmado electrónicamente no se podrán manipular los datos biométricos de la firma.

En el nuevo marco jurídico administrativo, muchos ciudadanos continuarán acudiendo a las oficinas de atención presencial para realizar sus trámites con la ayuda de funcionarios habilitados, pero los trámites se cursarán de forma digital. Tiene sentido que, aunque el funcionario se identifique y firme con su certificado electrónico, los ciudadanos que no se manejen con esa tecnología puedan firmar los escritos  de su puño y letra, pero de forma que el documento electrónico que firman preserve la información de su firma de forma digital.

Los sistemas de firma biométrica o grafométrica permiten firmar en una tableta u otro dispositivo móvil obteniendo una firma manuscrita en soporte digital  con valor legal. De esta manera se agiliza el trámite a realizar potenciando la administración electrónica.

La firma en tabletas o dispositivos móviles, a priori, no permite por si misma garantizar la integridad y autenticidad de la documentación firmada a no ser que se apliquen ciertas medidas de seguridad como el cifrado de la información biométrica.

Se debe usar una combinación de medios tecnológicos y de procedimientos que permiten dar garantías a la firma, recogiendo entre otras aspectos evidencias electrónicas del contexto de la transacción.

Las plataformas de  firma digital permiten la automatización del proceso administrativo de recogida de firma, de envío, de registro y de archivo. Y eventualmente de gestión de controversias respecto a la atribución de la firma al firmante, en un contexto en que se tenga que demostrar esta vinculación.

Para tener la certeza de que un  plataforma es adecuada para la gestión de firmas manuscritas digitalizadas avanzadas (FMDA) es conveniente que esta pueda aportar un certificado de idoneidad tras haber superado una auditoría.

EADTrust cuenta con experiencia para la realización de auditorías de FMDA y avala a las  plataformas y soluciones que han superado sus auditorías.

Son auditorías que se enmarcan en un esquema de evaluación soportado por TCAB (Trust Conformity Assessment Body) que permite que en cada país pueda desarrollarse un modelo específico orientado al contexto normativo del país, especialmente en lo relativo a las normas procesales.

Entre los principios que se revisan se destacan los siguientes:

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

 

Cambios en las domiciliaciones SEPA desde noviembre de 2016


En los dos últimos años, tanto las entidades financieras como las que giran adeudos por domiciliaciones a través de ellas, según la normativa “Cuaderno AEB 19 de recibos” (antiguo cuaderno CSB 19 o variantes modernas AEB 19.14 y AEB 19.44),  se  han ido adaptando a todos los cambios necesarios para cumplir con la normativa europea, de manera que todos los ficheros emitidos tuvieran el formato único europeo SEPA.

Actualmente en España existen dos modelos de cuadernos de adeudos SEPA que permiten presentarlos en plazos distintos, a elección del usuario y de la localización de la entidad de destino:

  • Esquema CORE: con plazos de 4 días si el adeudo es recurrente o último  y 7 días si el adeudo es el primero o único.
  • Esquema COR1: con plazos de 1 día antes de la fecha de vencimiento del recibo siempre que los adeudos sean nacionales.

A partir del 21 de noviembre de 2016, el esquema COR1 desapare en España y solamente se pueden enviar cuadernos en formato CORE.

Sin embargo, los plazos que tiene este esquema CORE a partir del cambio, son los mismos que el establecido para el COR1, es decir, todos los adeudos, sea cual sea su tipología se podrán presentar hasta un día antes de su fecha de vencimiento. Además ya no hace falta distinguir si el adeudo es el primero en caso de adeudo periódico o recurrente, sino que se delega a la entidad del deudor la operativa de identificar el primer adeudo en caso de este tipo de adeudos.

Por lo tanto, a partir de la fecha indicada sólo existirá un modelo de cuaderno 19, con todas las ventajas que supone el presentar cualquier tipo de adeudo hasta el día anterior a su vencimiento y que afectará por igual tanto al cuaderno tradicional (19.14) como al cuaderno de adeudos domiciliados orientados a empresas B2B (19.44).

FprEN 16931-1 Facturación electrónica – Parte 1: Modelo de datos semántico de los elementos básicos de una factura electrónica


e-invoicingYa está disponible en las tiendas on-line de estándares el borrador de la norma FprEN 16931-1 Electronic invoicing – Part 1: Semantic data model of the core elements of an electronic invoice

Esta Norma Europea establece un modelo de datos semántico de los elementos centrales de una factura electrónica. El modelo semántico incluye sólo los elementos esenciales de información que una factura electrónica necesita para garantizar el cumplimiento legal (incluido el fiscal) y permitir la interoperabilidad para el comercio transfronterizo, transversal y para el comercio interior.

El modelo semántico puede ser utilizado por las organizaciones de los sectores público y privado para la facturación en un contexto de contratación pública.

También puede utilizarse para la facturación entre empresas del sector privado. Esta norma europea cumple al menos los siguientes criterios:

  • es tecnológicamente neutra;
  • es compatible con las normas internacionales de aplicación en materia de facturación electrónica;
  • tiene en cuenta las necesidades de protección de datos de carácter personal de conformidad con la Directiva 95/46 / CE, un enfoque de “protección de datos por diseño” y los principios de proporcionalidad, minimización de datos y limitación de objetivos; es compatible con las disposiciones de aplicación de la Directiva 2006/112 / CE;
  • permite el establecimiento de sistemas de facturación electrónica prácticos, fáciles de utilizar, flexibles y rentables;
  • tiene en cuenta las necesidades especiales de las pequeñas y medianas empresas, así como de los poderes adjudicadores subcentrales y las entidades adjudicadoras del sector público;
  • es apto para ser utilizado en transacciones comerciales entre empresas

Sin embargo, no recoge el elemento semántico que permita indicar el mecanismo de autenticidad e integridad previsto en la Directiva 2010/45/UE del Consejo, de 13 de julio de 2010, por la que se modifica la Directiva 2006/112/CE relativa al sistema común del Impuesto sobre el Valor Añadido, en lo que respecta a las normas de facturación.

OJO. No confundir esta norma con la ISO 19631 (2009) Animal and vegetable fats and oils. Determination of polymerized triacylglycerols by high-performance size- exclusion chromatography (HPSEC)

En español UNE-EN ISO 16931:2010 Aceites y grasas de origen animal y vegetal. Determinación de triacilgliceroles polimerizados mediante cromatografía de exclusión de tamaño de alta resolución (HPSEC). (ISO 16931:2009)

Diebold Nixdorf se estrena en la Bolsa de Nueva York


Ayer 17 de enero de 2017 fue el día en que la empresa Diebold Nixdorf empezó a cotizar como tal en la Bolsa de Nueva York, tras el proceso de fusión de las dos entidades de procedencia Diebold y Wincor Nixdorf.

diebold-nixdorf-nyse

Me produce cierta satisfacción ver que se preserva la referencia a Nixdorf, empresa en la que trabajé hasta su fusión con la división de informática de Siemens (también trabajé en la empresa fusionada).

Yo fuí el último empleado que contrató Nixdorf España antes de la fusión, con un gran reto por delante: el despliegue de la infraestructura de Ofimática y Comunicaciones del nuevo edificio de Tres Cantos, en construcción en aquel momento. Agradezco a Francisco Antón el haber confiado en mi para aquel reto.

Preservar esta referencia es preservar una marca que se identificaba con la calidad y el buen servicio, algo en lo que los empleados de Nixdorf estábamos muy motivados, y siempre nos recordaba Francisco Robert.

Y es preservar el recuerdo de Heinz Nixdorf, que fundó Nixdorf Computer AG en 1952. Una de las empresas señeras de informática europeas.

Tras aquella fusión, Siemens Nixdorf Retail and Banking Systems GmbH fue adquirida el 1 de octubre de 1999 por Kohlberg Kravis Roberts y Goldman Sachs Capital Partners y pasó a denominarse Wincor Nixdorf, y salió a Bolsa en 2004.

dn-diebold-nixdorf-logoYa he publicado un par de referencias al proceso de fusión entre Diebold y Wincor Nixdorf: