Archivo de la categoría: Internacionalización

Segunda directiva de servicios de pago (PSD2) y Regulatory Technical Standards


La DIRECTIVA (UE) 2015/2366 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE se publicó el Diario Oficial de la Unión Europea el 23 de diciembre de 2015. Deberá ser recogida por las leyes nacionales de los paises miembros de la UE a más tardar el 13 de enero de 2018.

Independiza la gestión de los servicios de pago de la titularidad de la cuenta, de forma que el cliente de varias entidades financieras podría utilizar un proveedor único para consolidar la información de todas sus cuentas bancarias y para iniciar operaciones, por ejemplo transferencias.

Estos proveedores especiales que acceden a las cuentas para obtener información y para realizar transferencias se denominan prestadores o proveedores de servicios de pago y deben adoptar prudentes medidas de seguridad, en especial para garantizar la debida autenticación de los usuarios. Además, deben contar con un adecuado mecanismo de notificación de incidentes de seguridad a a los supervisores  y a los usuarios.

Los servicios de pago previstos son:

  1. Servicios que permiten el depósito de efectivo en una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  2. Servicios que permiten la retirada de efectivo de una cuenta de pago y todas las operaciones necesarias para la gestión de una cuenta de pago.
  3. Ejecución de operaciones de pago, incluida la transferencia de fondos, a través de una cuenta de pago en el proveedor de servicios de pago del usuario u otro proveedor de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  4. Ejecución de operaciones de pago cuando los fondos estén cubiertos por una línea de crédito abierta para un usuario de servicios de pago: a) ejecución de adeudos domiciliados, incluidos los adeudos domiciliados no recurrentes, b) ejecución de operaciones de pago mediante tarjeta de pago o dispositivo similar, c) ejecución de transferencias, incluidas las órdenes permanentes.
  5. Emisión de instrumentos de pago y/o adquisición de operaciones de pago.
  6. Envío de dinero.
  7. Servicios de iniciación de pagos.
  8. Servicios de información sobre cuentas.

Las entidades que se constituyan para prestar servicios de pagos deberán cumplir ciertos requisitos de capital en su constitución:  si la entidad de pago solo pretende prestar el servicio de pago del punto 6,  su capital  inicial deberá ser mayor de 20.000 EUR; si la entidad de pago solo pretende prestar el servicio de pago del punto 7, su capital inicial  deberá ser mayor de 50.000 EUR; si la entidad de pago pretende prestar cualquiera de los servicios de pago a que se refieren los puntos 1 a 5, su capital inicial deberá ser mayor de 125.000 EUR. Solo la prestación de Servicios de información sobre cuentas no impone requisitos especiales de capital inicial a las entidades que los presten.

Sin embargo, más importante que el importe de capital inicial son los fondos propios. Uno de los métodos de cálculo de fondos propios mínimos indicados en la directiva para las entidades de pago exige que superen el 10 % de sus gastos generales del año anterior o de los previstos en su plan de negocios, en caso de que no superen el año de actividad.

Para que la actividad de los nuevos prestadores de servicios de pago pueda desarrollarse sin fricciones de interoperabilidad es necesario que se estabilicen las normas técnicas impulsadas por la Autoridad Bancaria Europea (EBA European Banking Authority) “Regulatory Technical Standards“, en particular sobre los aspectos de “strong customer authentication” y “secure communication”

Sin embargo, los borradores publicados por la EBA se han visto como restrictivos con la competencia, en particular respecto a los nuevos modelos de negocio que pretende impulsar la Directiva 2015/2366.

En noviembre de 2016 los eurodiputados a cargo de la negociación con la EBA expresaron su preocupación por el hecho de que los proyectos de normas presentados por la Autoridad Bancaria Europea (EBA) para apoyar la innovación en el mercado de pagos serían restrictivos a los nuevos modelos de negocio.

En agosto de 2016, la EBA propuso los borradores de nuevas normas técnicas de reglamentación (RTS, Regulatory Technical Standards) sobre la autenticación fuerte de los clientes como parte de su mandato de establecer tales normas bajo la nueva Directiva de Servicios de Pagos (PSD2).

Estos RTS incluyen la “autenticación fuerte del cliente” que se deberán usar cuando sea necesario acceder a cuentas de pago en línea, o iniciar una operación de pago electrónico o “realizar cualquier acción a través de un canal remoto que pueda implicar un riesgo de fraude de pago u otros abusos”.

También se aplican a los casos en que los pagos se inician a través de proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers) o cuando los titulares de cuentas solicitan información sobre sus cuentas a través de un proveedor de servicios de información de cuentas (AISP, account information service provider ).

En el borrador de la norma, la EBA establece que los PSP deberían tener la libertad de decidir si se habilitan los pagos o el acceso a la cuenta a través de una “interfaz dedicada”, que sería una interfaz común para el uso de la industria en su totalidad o a través de su propia interfaz de banca electrónica, lo cual implicará que los agregadores de información y los iniciadores de pagos tendrían que ir una por una adaptando las interficies a los requisitos de cada entidad financiera (desvirtuando el propósito de los RTS).

Sin embargo, en una carta a la EBA en nombre del Parlamento Europeo, los eurodiputados Markus Ferber y Antonio Tajani le transmitieron que “el equipo de negociación del Prlamento Europeo apoya el acceso directo por parte de los proveedores de servicios de iniciación de pagos (PISP, payment initiation service providers ) y de los de servicios de información de cuenta (AISP, account information service providers) a la cuenta del ordenante, sin que el proveedor de servicios de pago de cuentas (ASPSP, account servicing payment service provider) exija que utilice un modelo de negocio determinado para la prestación de su servicio, ya se base en el acceso directo o en el indirecto.

Feber y Tajani expresaron su preocupación de que permitir el empleo de una “interfaz dedicada” implica el riesgo de dar a los ASPSP la posibilidad de excluir o limitar el acceso directo a la cuenta del ordenante a través de las instalaciones bancarias en línea preexistentes.

Esta opción  sería contraria al principio establecido en la Directiva, que impone a la EBAel desarrollo de las RTS con el fin de asegurar y mantener una competencia leal entre todos los proveedores de servicios de pago y garantizar la neutralidad de la tecnología y los modelos de negocio.

Feber y Tajani dejaron claro que el Parlamento Europeo quiere que la EBA se asegure de que los PISP y los AISP puedan obtener acceso directo a cuentas a través de todas las interfaces orientadas al cliente proporcionadas por los ASPSP en todo momento.

La EBA también debe asegurar que los ASPSPs siguen rigurosamente las reglas impuestas por la Directiva PSD2 para permitir a los PISPs y a los AISPs el acceso seguro a las cuentas cuando dichas entidades usan las interfaces propias de los ASPSPs.

El pasado 23 de febrero de 2017 la Autoridad Bancaria Europea (EBA) publicó su borrador final de Normas Técnicas de Reglamentación (RTS) sobre la autenticación fuerte de los clientes y la comunicación común y segura. Estas RTS, establecidas en virtud de la Directiva sobre servicios de pago revisada (PSD2) y desarrolladas en estrecha cooperación con el Banco Central Europeo (BCE).

Draft Regulatory Technical Standards on Strong Customer Authentication and common and secure communication under Article 98 of Directive 2015/2366 (PSD2)

La EBA recibió 224 respuestas a su documento de consulta, en el que se plantearon más de 300 consideraciones o solicitudes de aclaraciones. En la tabla de comentarios publicada como parte de la RTS, la EBA ha resumido cada uno de ellos y ha proporcionado su evaluación sobre si se han realizado cambios en la RTS como resultado de tales consideraciones.

En particular, una de las principales preocupaciones tratadas en este proyecto final de RTS se refiere a las exenciones de la aplicación de la autenticación fuerte de los clientes en función del nivel de riesgo que implica el servicio prestado; la cantidad y recurrencia de la transacción; y el canal de pago utilizado para la ejecución de la transacción. A este respecto, la ABE ha introducido dos nuevas exenciones: una basada en el análisis de riesgo de transacción basada en niveles definidos de fraude y la otra en pagos en las denominadas «terminales sin vigilancia» para las tarifas de transporte o estacionamiento. La exención sobre el análisis del riesgo de transacción está vinculada a un nivel predefinido de fraude y está sujeta a una cláusula de revisión de 18 meses después de la fecha de solicitud de la RTS.

Además, la ABE ha aumentado también el umbral de las transacciones de pago a distancia de 10 a 30 euros y ha suprimido las referencias anteriores a la norma ISO 27001 ya otras características específicas de la autenticación fuerte de los clientes para garantizar la neutralidad tecnológica de la RTS y para facilitar futuras innovaciones.

Con respecto a la comunicación entre proveedores de servicios de pago de cuentas (ASPSP), proveedores de servicios de información de cuentas (AISP) y proveedores de servicios de iniciación de pagos (PISPs), la ABE ha decidido mantener la obligación de que los ASPSP ofrezcan al menos una interfaz para AISPs y PISP para acceder a la información de la cuenta de pago. Esto está vinculado al hecho de que el PSD2 ya no permite el acceso de terceros sin identificación (a veces denominado “simulación de usuario” o, en inglés”screen scraping”) una vez transcurrido el período de transición previsto en el PSD2 para la aplicación de las Normas Técnicas Regulatorias  Regulatory Technical Standards.

La Directiva PSD2 establece que las RTS se aplicarán 18 meses después de su adopción por la Comisión de la UE como un acto delegado, por lo que es preciso que estas RTS se referencien oficialmente en una norma publicada en el Diario Oficial de la Unión Europea.

En el desarrollo de las tecnologías de Strong Customer Authentication claramente juegan un rol relevante los Prestadores de Servicios Electrónicos de Confianza que como EADTrust (European Agency of Digital Trust) aplican lo previsto en el Reglamento EIDAS.

 

 

Digitalización certificada en Francia


España cuenta con legislacion sobre Digitalización Certificada desde 2007, inicialmente para el ámbito tributario y posteriormente para el ámbito de la administración electrónica y de la Justicia (GIS de Digitalización Certificada del CTEAJE).

En Francia se acaba de producir un hito importante en relación con la digitalización  certificada con la publicación del decreto “Décret n° 2016-1673 du 5 décembre 2016 relatif à la fiabilité des copies et pris pour l’application de l’article 1379 du code civil”

A pesar de la generalización del uso de las tecnologías de la información en las relaciones humanas, las relaciones jurídicas se han vinculado hasta hace poco al papel, por hacer más intuitiva la garantía de integridad, de autenticidad y por su facilidad de conservación (con todos los problemas del archivo y localización de la documentación). Al final, cuando se precisa reflejar los compromisos adquiridos por las partes en un contrato, el papel sigue siendo el medio preferido.

Sin embargo, ¿es posible escanear el papel para su almacenamiento en un sistema moderno de gestión de documentos electrónicos y destruir el documento original?

En Francia, la publicación del “Decreto N ° 2016-1673 de 5 de diciembre el año 2016 sobre la fiabilidad de las copias  a los efectos del artículo 1.379 del Código Civil” ha supuesto una pequeña revolución clarificadora. viene a traer la respuesta correcta a esta pregunta.

El contexto del Decreto del 5 de diciembre el año 2016

Durante mucho tiempo, es decir, a partir de una Ley de 12 de julio 1980, las reglas de la prueba de las obligaciones contractuales establecen que posible hacer prueba de los escritos con una copia que sea una reproducción “fiel” y “duradera” (art. 1348 del código Civil).

La ley de 13 de marzo del 2000 “que adaptó el derecho de la prueba a las tecnologías de la información y a las relativas a la firma electrónica”,  no había incluido ninguna previsión para dar cobertura al citado artículo del código civil.

Por tanto, se presentaba la controversia de si una copia electrónica de un documento escrito, de un contrato en papel, de un pedido, de un albarán. podría alcanzar el nivel de fiabilidad requerido por el artículo 1348 del Código Civil como evidencia de la misma manera que el documento original, si por ,casualidad, este se destruye o se pierde.

En 2016, el derecho contractual francés vio una reforma importante, que no había conocido desde 1804 con la adopción del Código Civil, por la ordenanza de 10 de febrero de 2016. Con motivo de esta reforma, el artículo 1348 del código civil, ahora la sección 1379 se ha renovado con la aclaración “se presume fiable salvo prueba en contrario toda copia resultante de una reproducción idéntica de la forma y el contenido de un acto, y cuya integridad está garantizada a lo lo largo del tiempo por un proceso conforme a las condiciones establecidas por decreto en Consejo de Estado “.

A pesar del riesgo de legislar con “patada para adelante” de los detalles, la respuesta del legislador no se hizo esperar y fue publicada el 5 de diciembre de 2016.

Condiciones de fiabilidad de la copia digital de un original en papel

El decreto del 5 de diciembre el año 2016 prevé dos situaciones en las cuales se considera que una copia es fiable.

Por un lado, cuando el método de reproducción conduce a la modificación irreversible del soporte de la copia. Esto en realidad repite el mismo antiguo artículo 1348 del Código Civil que fue adoptado en 1980 para apuntar, sin decirlo, la tecnología de microfilm, que es la que se venía usando en Francia.

En segundo lugar, y esto es la noticia, cuando se reproduce electrónicamente respetando una serie de condiciones establecidas por el decreto.

En primer reto técnico: la copia digital debe proporcionar una garantía de la integridad del documento original. La Sección 3 del Decreto establece que esta condición se cumple por una huella electrónica que garantiza que “cualquier modificación posterior de la copia a la que está unido es detectable”.

La fiabilidad de la integridad de la huella se presume por el uso de una marca de tiempo cualificado o de un sello electrónico cualificado o de una firma electrónica cualificada en el sentido del Reglamento nº 910/2014 de 23 de julio de 2014 de servicios de identificación y de confianza electrónicos para las transacciones electrónicas en el mercado interior (eIDAS).

Se trata de una firma electrónica aplicada de forma automática por el sistema de archivo electrónico que crea la copia digital.

En la práctica, el Reglamento eIDAS establece que los proveedores de servicios electrónicos de confianza  que emiten sellos de tiempo, y certificados “cualificados” para la realización de sellos electrónicos o de firmas electrónicas  están sujetos a un control previo de un órgano de supervisión (en Francia el ANSSI), y se incluyen en una TSL (una lista de confianza)  establecida por cada Estado miembro y tienen derecho a utilizar la marca de confianza de la UE (definida en el Reglamento de ejecución 2015/806 de 22 de mayo de 2015 por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados)

La preservación de la fiabilidad de la copia electrónica en el largo plazo, al menos, siempre y cuando queremos ser la capacidad de oponerse a la otra parte, se efectuará mediante el uso de un sistema de archivo electrónico ya contemplado en el Artículo 34 del EIDAS “Servicio cualificado de conservación de firmas electrónicas cualificadas” y para el que se prepara la normativa técnica de aplicación EN 319 512 “Long term data preservation services, including preservation of/with digital signatures”

Aunque esta norma no está cubierta explícitamente por el decreto de 5 de diciembre 2016. el marco del EIDAS hace que sea presumible su adopción.

 

Mientras, los tribunales franceses han dado por buena la cobertura que la norma  NF Z 42-013, proveía a las copias en microfilm. El Tribunal de Apelación de París, en una sentencia de 11 de febrero del 2016 había decidido que las copias de un contrato de apertura de cuenta realizados en el marco de un sistema de archivo electrónico desarrollado conforme a las especificaciones de la norma NF Z 42-013 contaban con el mismo valor probatorio que los originales.

 

FprEN 16931-1 Facturación electrónica – Parte 1: Modelo de datos semántico de los elementos básicos de una factura electrónica


e-invoicingYa está disponible en las tiendas on-line de estándares el borrador de la norma FprEN 16931-1 Electronic invoicing – Part 1: Semantic data model of the core elements of an electronic invoice

Esta Norma Europea establece un modelo de datos semántico de los elementos centrales de una factura electrónica. El modelo semántico incluye sólo los elementos esenciales de información que una factura electrónica necesita para garantizar el cumplimiento legal (incluido el fiscal) y permitir la interoperabilidad para el comercio transfronterizo, transversal y para el comercio interior.

El modelo semántico puede ser utilizado por las organizaciones de los sectores público y privado para la facturación en un contexto de contratación pública.

También puede utilizarse para la facturación entre empresas del sector privado. Esta norma europea cumple al menos los siguientes criterios:

  • es tecnológicamente neutra;
  • es compatible con las normas internacionales de aplicación en materia de facturación electrónica;
  • tiene en cuenta las necesidades de protección de datos de carácter personal de conformidad con la Directiva 95/46 / CE, un enfoque de “protección de datos por diseño” y los principios de proporcionalidad, minimización de datos y limitación de objetivos; es compatible con las disposiciones de aplicación de la Directiva 2006/112 / CE;
  • permite el establecimiento de sistemas de facturación electrónica prácticos, fáciles de utilizar, flexibles y rentables;
  • tiene en cuenta las necesidades especiales de las pequeñas y medianas empresas, así como de los poderes adjudicadores subcentrales y las entidades adjudicadoras del sector público;
  • es apto para ser utilizado en transacciones comerciales entre empresas

Sin embargo, no recoge el elemento semántico que permita indicar el mecanismo de autenticidad e integridad previsto en la Directiva 2010/45/UE del Consejo, de 13 de julio de 2010, por la que se modifica la Directiva 2006/112/CE relativa al sistema común del Impuesto sobre el Valor Añadido, en lo que respecta a las normas de facturación.

OJO. No confundir esta norma con la ISO 19631 (2009) Animal and vegetable fats and oils. Determination of polymerized triacylglycerols by high-performance size- exclusion chromatography (HPSEC)

En español UNE-EN ISO 16931:2010 Aceites y grasas de origen animal y vegetal. Determinación de triacilgliceroles polimerizados mediante cromatografía de exclusión de tamaño de alta resolución (HPSEC). (ISO 16931:2009)

Reglamento de Ejecución (UE) 2015/806 de la Comisión, de 22 de mayo de 2015


El Parlamento Europeo y  El Consejo de la Unión Europea adoptaron en el verano de 2014 el Reglamento 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior (etiquetado #eIdAS o #eIdaTS).

El objetivo del Reglamento es el establecimiento de un marco jurídico claro que garantice el reconocimiento transfronterizo de identidades electrónicas, la interoperabilidad de la firma electrónica y otros servicios de confianza digital tales como los sellos electrónicos, los sellos de tiempo, la custodia de documentos electrónicos o las notificaciones fehacientes, posibilitando las comunicaciones electrónicas entre ciudadanos, empresas y Administraciones públicas y potenciando el comercio y la administración electrónica.

images-eIdaTSMás recientemente, en el Reglamento de ejecución (UE) 2015/806 de la Comisión de 22 de mayo de 2015, se establecen las especificaciones relativas a la forma de la nueva “etiqueta de confianza” «UE» para “servicios de confianza” cualificados.

Esta “etiqueta de confianza” distingue claramente los “servicios de confianza” cualificados de los demás “servicios de confianza”, contribuyendo así a la transparencia en el mercado y fomentando, la confianza en los servicios en línea y la conveniencia de éstos, aspectos esenciales para que los usuarios los aprovechen plenamente y confíen sin reservas en los servicios electrónicos.

La denominación completa de la norma es ta siguiente: Reglamento de Ejecución (UE) 2015/806 de la Comisión, de 22 de mayo de 2015, por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados.

Publicado en: «DOUE» núm. 128, de 23 de mayo de 2015 (DOUE-L-2015-80992)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) no 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (1), y, en particular, su artículo 23, apartado 3,

Considerando lo siguiente:

(1)

El Reglamento (UE) no 910/2014 establece que los proveedores de servicios de confianza cualificados podrán utilizar una etiqueta de confianza para los servicios de confianza cualificados a fin de reforzar la confianza y la conveniencia para los usuarios. Esta etiqueta de confianza distingue claramente los servicios de confianza cualificados de los demás servicios de confianza, contribuyendo así a la transparencia en el mercado y fomentando por ende la confianza en los servicios en línea y la conveniencia de estos, aspectos esenciales para que los usuarios los aprovechen plenamente y confíen sin reservas en los servicios electrónicos.

(2)

La Comisión organizó un concurso para estudiantes de arte y diseño de los Estados miembros, a fin de recibir propuestas sobre un nuevo logotipo. Un jurado de expertos seleccionó las tres mejores propuestas sobre la base de los criterios especificados en el pliego de condiciones técnicas y de diseño de la «e-Mark U Trust Competition». Se celebró una consulta en línea entre el 14 de octubre y el 14 de noviembre de 2014. El logotipo propuesto, elegido por la mayoría de los visitantes del sitio web durante dicho período y respaldado por una decisión final del jurado, debe ser ahora adoptado como nueva etiqueta de confianza «UE» para servicios de confianza cualificados.

(3)

A fin de que el logotipo pueda utilizarse tan pronto como sea aplicable con arreglo a la legislación de la Unión y de garantizar el funcionamiento efectivo del mercado interior y la competencia leal y proteger los intereses de los consumidores, la nueva etiqueta de confianza «UE» para servicios de confianza cualificados ha sido registrada como marca colectiva en la Oficina de Propiedad Intelectual del Reino Unido, por lo que está en vigor, es utilizable y está protegida. El logotipo será registrado también en los registros de la Unión e internacionales.

(4)

Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité establecido por el artículo 48 del Reglamento (UE) no 910/2014.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

La etiqueta de confianza «UE» para servicios de confianza cualificados será de la forma que se indica en los anexos I y II, sin perjuicio de lo dispuesto en el artículo 2.

Artículo 2

1. Los colores de referencia de la etiqueta de confianza «UE» para servicios de confianza cualificados serán Pantone no 654 y no 116; o azul (100 % cian + 78 % magenta + 25 % amarillo + 9 % negro) y amarillo (19 % magenta + 95 % amarillo), en caso de utilizarse la cuatricromía; cuando se utilicen colores RGB, los colores de referencia serán azul (43 rojo + 67 verde + 117 azul) y amarillo (243 rojo + 202 verde + 18 azul).

2. La etiqueta de confianza «UE» para servicios de confianza cualificados podrá utilizarse solo en blanco y negro, según se muestra en el anexo II, si no resulta práctico utilizar el color.

3. Si la etiqueta de confianza «UE» para servicios de confianza cualificados se utiliza sobre fondo oscuro, podrá utilizarse en formato negativo empleando el mismo color de fondo, tal como se muestra en los anexos I y II.

4. Si la etiqueta de confianza «UE» para servicios de confianza cualificados se utiliza en color sobre un fondo coloreado que dificulte su visualización, podrá utilizarse una línea de delimitación alrededor de dicha etiqueta a fin de mejorar el contraste con los colores del fondo.

Artículo 3

La etiqueta de confianza «UE» para servicios de confianza cualificados tendrá una dimensión mínima que garantice la conservación de los atributos visuales y formas clave, pero su tamaño no será inferior a 64 × 85 píxeles 150 dpi.

Artículo 4

La etiqueta de confianza «UE» para servicios de confianza cualificados se utilizará de una manera que permita reconocer claramente los servicios cualificados que corresponden a la etiqueta. La etiqueta de confianza podrá ir acompañada de elementos gráficos o textuales que indiquen claramente los servicios de confianza cualificados para los que se utiliza, a condición de que no modifiquen la naturaleza de la etiqueta de confianza «UE» para servicios de confianza cualificados ni alteren el vínculo con las listas de confianza aplicables a que se refiere el artículo 23, apartado 2, del Reglamento (UE) no 910/2014.

Artículo 5

El presente Reglamento entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 22 de mayo de 2015.

Por la Comisión

El Presidente

Jean-Claude JUNCKER

__________

(1) DO L 257 de 28.8.2014, p. 73.

ANEXO I

Etiqueta de confianza «UE» para servicios de confianza cualificados en color

images-eIdaTS

ANEXO II

Etiqueta de confianza «UE» para servicios de confianza cualificados en blanco y negro

eIdaTS-black-and-white

Adopción de la norma ISO / IEC 29115: 2013 e ITU X.1254 en el marco del Reglamento UE 910/2014 #eIdAS – #eIdaTS


La norma ISO / IEC 29115: 2013 – Entity Authentication Assurance Framework es esencial para el cumplimiento de diversas disposiciones legales, en particular el  Reglamento Europeo UE 910/2014 como referencia a los niveles de garantía de la identificación electrónica (LoA Levels of Assurance), y como referencia para los niveles de garantía identificadas que marquen la evolución del sistema Cl@ve, cuyo funcionamiento se encuentra regulado por la Orden PRE/1838/2014, de 8 de octubre, por la que se publica el Acuerdo de Consejo de Ministros, de 19 de septiembre de 2014, por el que se aprueba Cl@ve, la plataforma común del Sector Público Administrativo Estatal para la identificación, autenticación y firma electrónica mediante el uso de claves concertadas.

Esta norma se deriva de la norma ITU X.1254 : Entity authentication assurance framework

El nivel de garantía (Level of Assurance LoA) al que hace mención esta Norma Internacional se refiere a la confianza que merecen los procesos, las actividades de gestión y tecnologías utilizados para establecer y gestionar de forma efectiva  la identidad de una entidad para su uso en las transacciones de autenticación.

La Norma Internacional ISO / IEC 29115: 2013 ofrece una guía fundamental para la gestión de la garantía de la autenticación de entidad en un contexto dado. En particular, se centra en los:

  • Cuatro niveles de garantía de la autenticación de la entidad;
  • Criterios y directrices para y el logro de cada uno de los cuatro niveles de garantía de la autenticación de la entidad;
  • Orientación para la correspondencia de otros sistemas de garantía de autenticación a los cuatro niveles de garantía especificados ;
  • Orientación para el intercambio de los resultados de autenticación que se basa en los cuatro niveles de garantía ;
  • Orientación en cuanto a los controles que se deben utilizar para mitigar las amenazas relativas a la autenticación.

Utilizando los cuatro niveles especificados de garantía (LoAs), el documento presenta las pautas relativas a las tecnologías de control, los procesos y las actividades de gestión, así como los criterios de garantía de que se deben utilizar para mitigar las amenazas relativas a la autenticación con el fin de poner en práctica los cuatro niveles de garantía.

También proporciona una idea sobre la forma en que se corresponden otros sistemas de garantía de autenticación con los cuatro niveles especificados  en la norma y orientas obre la forma de intercambiar resultados de una transacción de autenticación. Por último, esta Norma Internacional proporciona orientación informativa relativa a la protección de la información de identificación personal asociado con el proceso de autenticación.

La norma ISO / IEC 29115: 2013 ayuda a lograr:

  • Establecimiento el servicio
  • Cumplimiento Legal y Contractual
  • Disposiciones financieras
  • Gestión de la seguridad de la información y de auditoría
  • Componentes de servicios externos
  • Métricas de capacidades operativas

La norma se destina  principalmente a proveedores de servicios de credenciales (CSP-Credential Service Providers) y a quienes tengan interés en sus servicios, por ejemplo las partes que confian, asesores y auditores de esos servicios.

Los niveles son los siguientes:

  1. LoA 1 – Garantía Baja – Low – Little or no confidence in the asserted identity
  2. LoA 2 – Garantía Media – Medium – Some confidence in the asserted identity
  3. LoA 3 – Garantía Alta–  High – High confidence in the asserted identity
  4. LoA 4 – Garantía Muy alta – Very high – Very high confidence in the asserted identity

El impacto de los errores de autenticación seá mínimo, moderado, sustancial o alto según el LoA requerido.

El modelo actual de Cl@ve todavía no contempla la estructura de 4 niveles de aseguramiento o de garantía, pero deberá evolucionar de forma que, en el futuro, pueda ser notificado como sistema de identificación y autenticación a la Comisión Europea, según lo definido en el Regla,emto UE 910/2014. Una vez que se de ese paso, el sistema de gestión de identidades español deberá ser asumido por el resto de países de la Unión Europea.

En la actualidad, el uso de las claves concertadas y los servicios de firma en la nube del servicio Cl@ve requiere que los ciudadanos se registren previamente en el sistema, aportando los datos de carácter personal necesarios. Este registro puede hacerse de manera presencial o telemática.

El registro presencial, inicialmente está limitado, de modo que actuan como Oficinas de Registro únicamente la red de oficinas de la Agencia Estatal de Administración Tributaria y de las Entidades Gestoras y Servicios Comunes de la Seguridad Social. En el futuro, se podrá ampliar la red de Oficinas de Registro con aquellos organismos públicos que dispongan de despliegue territorial y cumplan los requisitos técnicos necesarios establecidos por la Resolución de 28 de septiembre de la Dirección de Tecnologías de la Información y las Comunicaciones, por la que se establecen las condiciones para actuar como oficina de registro presencial del sistema Cl@ve .

En su rol de “broker de identidades” el sistema Cl@ve deberá evolucionar para incorporar en el futuro, conforme se vayan integrando en el sistema de reconocimiento transfronterizo de identidades electrónicas previsto en la citada regulación europea, mecanismos de identificación de otros países de la Unión Europea.

Aplicabilidad del Reglamento Europeo UE 910/2014 (EIdAS)


A diferencia de la Directiva 93/1999 /CEE del Consejo, el Reglamento (UE)  nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE (denominado reglamento eIDAS por las iniciales de Electronic Identificatiom Authentication and Signature) que entró en vigor el 17 de septiembre de 2014, tendrá un impacto directo y, en algunos casos,  supondrá la derogación de las leyes nacionales vigentes en los Estados miembros.

El Reglamento se aplicará gradualmente en los próximos meses con plazos de entrada en vigor escalonados que concluirán el 01 de julio 2016, con la derogación de la Directiva 93/1999 / CEE.

Desde su entrada en vigor el 17 de septiembre de 2014, ya son de aplicación las disposiciones contenidas en los artículos 9.5, 17.8, 19.4, 20.4, 21.4, 24.5, 27.4, 28.6, 29.2, 30.3, 30.4, 31.3, 32.3, 33.2, 34.2, 37.4, 38.6, 42.2, 44.2, 45.2, 47 y 48. El resto de las disposiciones, a excepción de los artículos 7, 8.1, 8.2, 9, 10, 11 y 12.1, que se aplicará a partir del 18 septiembre de 2015, deben ser implementadas a partir del 1 de julio de 2016. Sólo el  artículo 6 se aplicará a partir del 18 de septiembre 2018.

Desde 01 de julio de 2016 en adelante:

  • Los Dispositivos de Creación de Firma (denominados antes Dispositivos Seguros de Creación de Firma y ahora Dispositivos Cualificados de Creación de Firma) que tuvieran la consideración de tales según  el artículo 3.4  de la Directiva 93/1999 /CEE,  mantendrán su reconocimiento tras la nueva norma (Reglamento eIdAS).
  • Los certificados reconocidos expedidos a personas físicas de acuerdo con la Directiva 93/1999 /CEE se consideran hasta su vencimiento certificados cualificados de acuerdo con la nueva norma (Reglamento eIdAS).
  • Para ser considerados prestadores de servicios de confianza digital cualificados de acuerdo con el Reglamento eIDAS, los Prestadores de Servicios de Certificación que emitían  ​​certificados reconocidos de acuerdo con la Directiva 93/1999 / CEE deben presentar a partir del 01 de julio de 2017 un informe de evaluación sobre el cumplimiento de la normativa técnica y organizativa aplicable al órgano de supervisión (Minetur, en el caso de España).

La aplicación del Reglamento eIdAS, implica la puesta en marcha de 7 actos de ejecución que deben adoptarse en un  año:

  • 3 actos de ejecución relativos a la identificación y autenticación digital (eID)
  • 4 actos de ejecución en materia de servicios de confianza digital
    • Formatos de firma electrónica (artículo 27.4)
    • Formatos de sellos electrónicos (artículo 37.4)
    • Listas de confianza (artículo 22.5)
    • Marca de confianza de la UE (artículo 23.3)

En los más de 16 años de vigencia de la Directiva 93/1999 /CEE del Consejo, cada Estado miembro la ha desarrollado en su legislación nacional adoptando, en algunos casos normas técnicas de organismos como ETSI y CEN. En España, entre otras normas la Ley 59/2003, con disposiciones sobre firmas electrónicas en la Ley 11/2007 y en la Ley 18/2011.

El impacto revolucionario del Reglamento, sin embargo, cambia todos los paradigmas existentes anteriormente, que pueden considerarse los causantes de la falta de interoperabilidad transnacional en el mercado único europeo. El nuevo modelo, destinado a facilitarla, todavía tiene que demostrar su utilidad en un contexto internacional en el que los mayores avances se han producido a partir de la adopción de incoativas de la industria a través del CAB Forum, solo para el ámbito de los certificados para servidores web, en un modelo como en norteamericano de escasa regulación.

Tutorial en video sobre UBL (en inglés)


Tim McGrath, reconocido experto internacional en UBL ha preparado un seminario en video muy interesante compuesto de sesiones breves que ayudan a entender UBL (Universal Business Language)

Understanding UBL Introduction

Understanding the Universal Business Language

UBL Approach

Understanding the UBL Data Structures

UBL for Procurement

UBL for Transportation

UBLCustomization